Debians sikkerhedsbulletin

DSA-4892-1 python-bleach -- sikkerhedsopdatering

Rapporteret den:
18. apr 2021
Berørte pakker:
python-bleach
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 986251.
I Mitres CVE-ordbog: CVE-2021-23980.
Yderligere oplysninger:

Der blev rapporteret om at python-bleach, et hvidlistebaseret bibliotek til HTML-resning, var ramt af en mutations-XSS-sårbarhed i bleach.clean, når svg eller math er blandt de tilladte tags, 'p' eller br er blandt de tilladte tags, style, title, noscript, script, textarea, noframes, iframe eller xmp er blandt de tilladte tags, og 'strip_comments=False' er opsat.

I den stabile distribution (buster), er dette problem rettet i version 3.1.2-0+deb10u2.

Vi anbefaler at du opgraderer dine python-bleach-pakker.

For detaljeret sikkerhedsstatus vedrørende python-bleach, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/python-bleach