Aviso de seguridad de Debian

DSA-4358-1 ruby-sanitize -- actualización de seguridad

Fecha del informe:
27 de dic de 2018
Paquetes afectados:
ruby-sanitize
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 893610.
En el diccionario CVE de Mitre: CVE-2018-3740.
Información adicional:

El Shopify Application Security Team descubrió que ruby-sanitize, un software para sanear HTML en base a listas blancas, es propenso a una vulnerabilidad de inyección de HTML. Un fragmento de HTML preparado de una manera determinada puede hacer que se permita el uso de atributos no incluidos en una lista blanca en un elemento HTML que, supuestamente, es conforme a dicha lista.

Para la distribución «estable» (stretch), este problema se ha corregido en la versión 2.1.0-2+deb9u1.

Le recomendamos que actualice los paquetes de ruby-sanitize.

Para información detallada sobre el estado de seguridad de ruby-sanitize, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/ruby-sanitize