LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2021 / Informations sur la sécurité -- DLA-2871-1 lxml

Bulletin d'alerte Debian

DLA-2871-1 lxml -- Mise à jour de sécurité pour LTS

Date du rapport :

30 décembre 2021

Paquets concernés :

lxml

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 1001885.
Dans le dictionnaire CVE du Mitre : CVE-2021-43818.

Plus de précisions :

lxml est une bibliothèque pour traiter le code XML et HTML dans le langage Python. Avant la version 4.6.5, l'outil de nettoyage de HTML dans lxml.html laissait passer certains contenus de scripts contrefaits, ainsi que le contenu de scripts dans les fichiers SVG incorporés utilisant les URL des données.

Pour Debian 9 Stretch, ce problème a été corrigé dans la version 3.7.1-1+deb9u5.

Nous vous recommandons de mettre à jour vos paquets lxml.

Pour disposer d'un état détaillé sur la sécurité de lxml, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/lxml.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.