Bulletin d'alerte Debian

DSA-4643-1 python-bleach -- Mise à jour de sécurité

Date du rapport :
20 mars 2020
Paquets concernés :
python-bleach
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 954236.
Dans le dictionnaire CVE du Mitre : CVE-2020-6816.
Plus de précisions :

Il a été signalé que python-bleach, une bibliothèque de nettoyage de HTML basée sur les listes blanches, est prédisposée à une vulnérabilité de script intersite par mutation dans bleach.clean quand strip=False, et que les étiquettes math ou svg et une ou plus des étiquettes RCDATA sont mises en liste blanche.

Pour la distribution stable (Buster), ce problème a été corrigé dans la version 3.1.2-0+deb10u1.

Nous vous recommandons de mettre à jour vos paquets python-bleach.

Pour disposer d'un état détaillé sur la sécurité de python-bleach, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/python-bleach.