Säkerhetsbulletin från Debian

DSA-4358-1 ruby-sanitize -- säkerhetsuppdatering

Rapporterat den:
2018-12-27
Berörda paket:
ruby-sanitize
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 893610.
I Mitres CVE-förteckning: CVE-2018-3740.
Ytterligare information:

Shopify Application Security Team upptäckte att ruby-sanitize, en vitlistebaserad HTML-rengörare är sårbar för en HTML-injiceringssårbarhet. Ett speciellt skapat HTML-fragment kan orsaka att icke vitlistade attribut tillåts att användas på ett vitlistat HTML-element.

För den stabila utgåvan (Stretch) har detta problem rättats i version 2.1.0-2+deb9u1.

Vi rekommenderar att ni uppgraderar era ruby-sanitize-paket.

För detaljerad säkerhetsstatus om ruby-sanitize vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/ruby-sanitize