検出

FreeBSD:www/py-bleach -- 複数の脆弱性(3d19c776-68e7-11ea-91db-0050562a4d7b)

high Nessus プラグイン ID 134686

Language:

概要

リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。

説明

* 組み込まれたMathMLおよびSVGコンテンツをRCDATAタグで解析する「bleach.clean」の動作がブラウザの動作と一致せず、変異XSSが発生する可能性があります。

許可されたタグのホワイトリストにおける「strip=False」と「math」または「svg」タグ、および1つ以上のRCDATAタグ「script」、「noscript」、「style」、「noframes」、「iframe」、「noembed」、または「xmp」を使用した「bleach.clean」への呼び出しは、変異XSSに脆弱でした。

*「noscript」タグを解析する「bleach.clean」の動作がブラウザの動作と一致しませんでした。

「noscript」および1つ以上のRAWテキストタグ(「title」、「textarea」、「script」、「style」、「noembed」、「noframes」、「iframe」、および「xmp」)を許可する「bleach.clean」への呼び出しは、変異XSSに脆弱でした。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://bugzilla.mozilla.org/show_bug.cgi?id=1615315

https://bugzilla.mozilla.org/show_bug.cgi?id=1621692

http://www.nessus.org/u?bcb3e506

プラグインの詳細

深刻度: High

ID: 134686

ファイル名: freebsd_pkg_3d19c77668e711ea91db0050562a4d7b.nasl

バージョン: 1.1

タイプ: local

公開日: 2020/3/19

更新日: 2020/3/19

サポートされているセンサー: Nessus

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:py27-bleach, p-cpe:/a:freebsd:freebsd:py35-bleach, p-cpe:/a:freebsd:freebsd:py36-bleach, p-cpe:/a:freebsd:freebsd:py37-bleach, p-cpe:/a:freebsd:freebsd:py38-bleach, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2020/3/18

脆弱性公開日: 2020/2/13