検出

Fedora 27:ckeditor(2018-e29c7d10da)

high Nessus プラグイン ID 109712

Language:

概要

リモートのFedoraホストにセキュリティ更新プログラムがありません。

説明

## 4.9.2

https://ckeditor.com/cke4/release/CKEditor-4.9.2

### セキュリティ更新

 - Kyaw Min Thein氏から報告されたEnhanced Image(image2)プラグインのXSS脆弱性を修正しました。

 - 問題の要約:<img>タグと特別に細工されたHTMLを使用して、CKEditor内でXSSを実行することが可能でした。
 注意:デフォルトの事前設定(Basic/Standard/Full)にはこのプラグインが含まれていないため、カスタムビルドを作成し、このプラグインを有効にした場合にのみ危険にさらされます。

## 4.9.1

https://ckeditor.com/cke4/release/CKEditor-4.9.1

### 修正された問題

 - \#1835:修正済み:CKFinderとFile Browserプラグインの統合が機能しません。

## 4.9.0

https://ckeditor.com/cke4/release/CKEditor-4.9.0

### 新機能

 - \#932:自動的にスケール変更され、最適化され、反応が早く、非常に高速なCDN経由で配信される画像を挿入するためのEasy Image機能を導入しました。
 これをサポートするために次の3つの新しいプラグインが追加されました:

 - Easy Image

 - Cloud Services

 - Image Base

 - \#1338:ファンクションキー(F7、F8など)のキー入力ラベルが表示されます。

 - \#643:File Browserプラグインは、XHRリクエストを使用してファイルをアップロードできるようになりました。これにより、config.fileTools_requestHeaders構成オプションを使用してカスタムHTTPヘッダーを設定できます。

 - \#1365:File Browserプラグインは、デフォルトでXHRリクエストを使用します。

 - \#1399:CKEDITOR.config.startupFocusをstartまたはendとして設定し、初期化後にエディターがフォーカスする場所を指定する機能を追加しました。

 - \#1441:Magic Lineプラグインの行要素がdata-cke-magic-line='1'属性で識別できるようになりました。

### 修正された問題

 - \#595:修正済み:モバイルデバイスで貼り付けが機能しない。

 - \#869:修正済み:選択を空にすると、エディターでキャッシュされたクリップボードのデータがクリアされます。

 - \#1419:修正済み:Widget Selectionプラグインは、WindowsでAlt+Aキーの組み合わせを使用してエディターコンテンツを選択します。

 - \#1274:修正済み:バルーンツールバーが、contextDefinition.cssSelectormatcherを使用して選択された単一の画像と一致しません。

 - \#1232:修正済み:バルーンツールバーボタンは、フォーカス可能な要素として登録する必要があります。

 - \#1342:修正済み:バルーンバルーンツールバーは、変更イベント後に再配置する必要があります。

 - \#1426:[IE8-9] 修正済み:Kamaスキンで欠落したバルーンツールバーの背景。Christian Elmer氏に感謝の意を表します!

 - \#1470:修正済み:バルーンツールバーが、それに取り付けられたウィジェットのドラッグアンドドロップ後に表示されません。

 - \#1048:修正済み:バルーンパネルが、その非静的親にマージンが追加されると、適切に配置されません。

 - \#889:修正済み:ImageプラグインとEnhanced Imageプラグインでの幅フィールドと高さフィールドに関する不明確なエラーメッセージ。

 - \#859:修正済み:リンク内のテキストをダブルクリックした後にリンクを編集できない。

 - \#1013:修正済み:Wordからの貼り付けが、config.forcePasterAsPlainTextオプションで正しく機能しない。

 - \#1356:修正済み:境界解析機能で、カラー値の空白が許可されない。

 - \#1010:修正済み:CSS境界の簡略表現のプロパティが、ボーダーカラースタイルを無視して不適切に展開されていました。

 - \#1535:修正済み:ウィジェットマウスオーバー境界のコントラストが不十分。

 - \#1516:修正済み:偽装選択でBackspaceキーとDeleteキーを使用して読み取り専用モードのコンテンツを削除できる。

 - \#1570:修正済み:偽装選択でCtrl/Cmd + Xキーを使用して読み取り専用モードのコンテンツをカットできる。

 - \#1363:修正済み:貼り付け通知が不明確であり、ユーザーを混乱させる可能性がある。

### APIの変更

 - \#1346:バルーンツールバーのコンテキストマネージャーAPIが、requestingpluginのpluginDefinition.initメソッドで利用可能になりました。

 - \#1530:ボタンにカスタムアイコンを使用する機能を追加しました。

### その他の変更

 - SCAYT(Spell Check As You Type)プラグインとWebSpellCheckerプラグインを更新しました:

 - SCAYT scayt_minWordLength構成オプションが、デフォルトで4ではなく3に設定されるようになりました。

 - コンテキストメニューのSCAYTのデフォルトの推奨単語数が3に変更されました。

 - \#90:修正済み:SCAYTが単語を強調表示すると、リンク作成に対する選択が失われる。

 - 修正済み:ブラウザのlocalStorageを無効にすると、SCAYTがクラッシュする。

 - [IE11] 修正済み:SCAYTが有効/無効のときに、ブラウザコンソールで未定義のエラーまたはnull参照エラーのプロパティタイプを取得できない。

 - \#46:修正済み:リモートスペルチェッカーサーバーがオフラインの場合に編集がブロックされる。

 - 修正済み:辞書エラーが発生するため、WSCでユーザー辞書を作成できない。

 - 修正済み:アポストロフィ付きの単語を置換しようとすると、WSCダイアログにアクセスできなくなる。

 - 修正済み:SCAYT/WSCがブラウザコンソールで捕捉されないTypeErrorエラーを引き起こす。

 - \#1337:新しいCKEditor 4のロゴとカラースキームでサンプルレイアウトを更新しました。

 - \#1591:CKBuilderと言語ツールがHTTPS経由でダウンロードされるようになりました。August Detlefsen氏に感謝の意を表します!

注意:Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

影響を受けるckeditorパッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2018-e29c7d10da

プラグインの詳細

深刻度: High

ID: 109712

ファイル名: fedora_2018-e29c7d10da.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2018/5/11

更新日: 2021/1/6

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:ckeditor, cpe:/o:fedoraproject:fedora:27

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2018/5/10

脆弱性公開日: 2018/5/10

参照情報