Säkerhetsinformation / 2018 / Säkerhetsinformation -- DSA-4171-1 ruby-loofah

Säkerhetsbulletin från Debian

DSA-4171-1 ruby-loofah -- säkerhetsuppdatering

Rapporterat den:

2018-04-13

Berörda paket:

ruby-loofah

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 893596.
I Mitres CVE-förteckning: CVE-2018-8048.

Ytterligare information:

Shopify Application Security Team rapporterade att ruby-loofah, ett allmänt bibliotek för att manipulera och transformera HTML/XML-dokument och fragment, gör att icke-vitlistade attribut kan vara närvarande i rengjord utdata när du matar in specialtillverkade HTML-fragment. Detta kan tillåta att montera ett kodinjektionsangrepp i en webbläsre som använder rengjord utdata.

För den stabila utgåvan (Stretch) har detta problem rättats i version 2.0.3-2+deb9u1.

Vi rekommenderar att ni uppgraderar era ruby-loofah-paket.

För detaljerad säkerhetsstatus om ruby-loofah vänligen se dess säkerhetsspårarsida på: https://security-tracker.debian.org/tracker/ruby-loofah