Рекомендация Debian по безопасности

DSA-4892-1 python-bleach -- обновление безопасности

Дата сообщения:
18.04.2021
Затронутые пакеты:
python-bleach
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 986251.
В каталоге Mitre CVE: CVE-2021-23980.
Более подробная информация:

Было сообщено, что python-bleach, библиотека для очистки HTML на основе разрешённых списков, уязвима к мутации XSS в bleach.clean, если разрешены теги svg или math, 'p' или br, либо разрешены теги style, title, noscript, script, textarea, noframes, iframe или xmp и установлена опция 'strip_comments=False'.

В стабильном выпуске (buster) эта проблема была исправлена в версии 3.1.2-0+deb10u2.

Рекомендуется обновить пакеты python-bleach.

С подробным статусом поддержки безопасности python-bleach можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/python-bleach