Säkerhetsbulletin från Debian
DSA-2941-1 lxml -- säkerhetsuppdatering
- Rapporterat den:
- 2014-06-01
- Berörda paket:
- lxml
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2014-3146.
- Ytterligare information:
-
Man har upptäckt att funktionen clean_html() i lxml (pythonbindningar för biblioteken libxml2 och libxslt) utförde otillräcklig rengörning för några icke-utskrivbara tecken. Detta kunde leda till domänöverskridande skriptangrepp.
För den stabila utgåvan (Wheezy) har detta problem rättats i version 2.3.2-1+deb7u1.
För uttestningsutgåvan (Jessie) har detta problem rättats i version 3.3.5-1.
För den instabila utgåvan (Sid) har detta problem rättats i version 3.3.5-1.
Vi rekommenderar att ni uppgraderar era lxml-paket.