Debians sikkerhedsbulletin
DSA-4730-1 ruby-sanitize -- sikkerhedsopdatering
- Rapporteret den:
- 19. jul 2020
- Berørte pakker:
- ruby-sanitize
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 963808.
I Mitres CVE-ordbog: CVE-2020-4054. - Yderligere oplysninger:
-
Michal Bentkowski opdagede at ruby-sanitize, en hvidlistebaseret HTML-renser, var sårbar over for en sårbarhed i forbindelse med omgåelse af HTML-rensning, når der blev anvendt
relaxed
eller når en tilpasset opsætning tillod visse elementer. Indhold i et <math>- eller <svg>-element, kunne ikke renses korrekt, selv når math og svg ikke var på allowlist'en.I den stabile distribution (buster), er dette problem rettet i version 4.6.6-2.1~deb10u1.
Vi anbefaler at du opgraderer dine ruby-sanitize-pakker.
For detaljeret sikkerhedsstatus vedrørende ruby-sanitize, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/ruby-sanitize