Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2941-1 lxml

Debians sikkerhedsbulletin

DSA-2941-1 lxml -- sikkerhedsopdatering

Rapporteret den:

1. jun 2014

Berørte pakker:

lxml

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2014-3146.

Yderligere oplysninger:

Man opdagede at funktionen clean_html() i lxml (pythonske bindinger til bibliotekerne libxml2 og libxslt) udførte utilstrækkelig fornuftighedskontrol vedrørende nogle ikke-skrivbare tegn. Det kunne føre til udførelse af skripter på tværs af websteder.

I den stabile distribution (wheezy), er dette problem rettet i version 2.3.2-1+deb7u1.

I distributionen testing (jessie), er dette problem rettet i version 3.3.5-1.

I den ustabile distribution (sid), er dette problem rettet i version 3.3.5-1.

Vi anbefaler at du opgraderer dine lxml-pakker.