데비안 보안 권고

DSA-4171-1 ruby-loofah -- 보안 업데이트

보고 일시:
2018년 04월 13일
영향 받는 패키지:
ruby-loofah
위험성:
Security database references:
데비안 버그 추적 시스템 버그 893596.
Mitre의 CVE 사전 CVE-2018-8048.
추가 정보:

Shopify 응용 보안 팀은 ruby-loofah (HTML/XML 문서와 조각을 다루고 변환하는 일반 라이브러리) 가 특별하게 조작된 HTML 조각으로 입력할 때, 화이트리스트 아닌 속성을 살균 출력에 표시할 수 있음을 보고했습니다. 이것은 코드 삽입 공격을 브라우저 안에 마운트하여 살균 출력을 소모할 수 있게 합니다.

안정 배포(stretch)에서, 이 문제는 버전 2.0.3-2+deb9u1 에서 고쳐졌습니다.

ruby-loofah 패키지를 업그레이드 하는 게 좋습니다.

ruby-loofah 의 자세한 보안 상태는 보안 추적페이지 참조하세요: https://security-tracker.debian.org/tracker/ruby-loofah