Bulletin d'alerte Debian

DLA-1604-1 lxml -- Mise à jour de sécurité pour LTS

Date du rapport :
10 décembre 2018
Paquets concernés :
lxml
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-19787.
Plus de précisions :

Il existait une vulnérabilité d’injection de script intersite (XSS) dans la bibliothèque de manipulation HTML/XSS de LXML pour Python.

LXML ne supprimait pas les URL « javascript: » qui utilisent des modificateurs tels que j a v a s c r i p t. C’est un problème similaire à CVE-2014-3146.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 3.4.0-1+deb8u1 de lxml.

Nous vous recommandons de mettre à jour vos paquets lxml.