Debians sikkerhedsbulletin

DSA-4358-1 ruby-sanitize -- sikkerhedsopdatering

Rapporteret den:
27. dec 2018
Berørte pakker:
ruby-sanitize
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 893610.
I Mitres CVE-ordbog: CVE-2018-3740.
Yderligere oplysninger:

Shopify Application Security Team opdagede at ruby-sanitize, en hvidlistebaseret HTML-renser, var ramt af en HTML-indsprøjtningssårbarhed. Et særligt fabrikeret HTML-fragment kunne medføre at ikke-hvidlistede attributter blev anvendt i et hvidlistet HTML-elmenent.

I den stabile distribution (stretch), er dette problem rettet i version 2.1.0-2+deb9u1.

Vi anbefaler at du opgraderer dine ruby-sanitize-pakker.

For detaljeret sikkerhedsstatus vedrørende ruby-sanitize, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/ruby-sanitize