Рекомендация Debian по безопасности
DSA-4730-1 ruby-sanitize -- обновление безопасности
- Дата сообщения:
- 19.07.2020
- Затронутые пакеты:
- ruby-sanitize
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 963808.
В каталоге Mitre CVE: CVE-2020-4054. - Более подробная информация:
-
Михал Бентковский обнаружил, что ruby-sanitize, утилита для очистки HTML на основе разрешённых списков, уязвима к обходу очистки HTML при использовании режима
relaxed
или собственных настроек, разрешающих определённые элементы. Содержимое элементов <math> или <svg> может не быть очищенно даже в том случае, когда math и svg не добавлены в разрешённый список.В стабильном выпуске (buster) эта проблема была исправлена в версии 4.6.6-2.1~deb10u1.
Рекомендуется обновить пакеты ruby-sanitize.
С подробным статусом поддержки безопасности ruby-sanitize можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/ruby-sanitize