Рекомендация Debian по безопасности

DSA-4877-1 webkit2gtk -- обновление безопасности

Дата сообщения:
27.03.2021
Затронутые пакеты:
webkit2gtk
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2020-27918, CVE-2020-29623, CVE-2021-1765, CVE-2021-1789, CVE-2021-1799, CVE-2021-1801, CVE-2021-1870.
Более подробная информация:

В веб-движке webkit2gtk были исправлены следующие уязвимости:

  • CVE-2020-27918

    Лю Лун обнаружил, что обработка специально сформированного веб-содержимого может приводить к выполнению произвольного кода.

  • CVE-2020-29623

    Саймон Хант обнаружил, что в некоторых обстоятельствах пользователи могут быть неспособны полностью удалить историю просмотра.

  • CVE-2021-1765

    Элия Штайн обнаружил, что специально сформированное веб-содержимое может нарушать правило песочницы для iframe.

  • CVE-2021-1789

    @S0rryMybad обнаружил, что обработка специально сформированного веб-содержимого может приводить к выполнению кода.

  • CVE-2021-1799

    Грегорий Вишнепольский, Бэн Сери и Сэми Камкар обнаружили, что вредоносный веб-сайт может получить доступ к ограниченным портам на произвольных серверах.

  • CVE-2021-1801

    Элия Штайн обнаружил, что обработка специально сформированного веб-содержимого может приводить к выполнению произвольного кода.

  • CVE-2021-1870

    Анонимный исследователь обнаружил, что обработка специально сформированного веб-содержимого может приводить к выполнению произвольного кода.

В стабильном выпуске (buster) эти проблемы были исправлены в версии 2.30.6-1~deb10u1.

Рекомендуется обновить пакеты webkit2gtk.

С подробным статусом поддержки безопасности webkit2gtk можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/webkit2gtk