概要
リモートのFedoraホストにセキュリティ更新プログラムがありません。
説明
## CKEditor 4.14
**セキュリティ更新:**
- [CVE-2020-9281](https://nvd.nist.gov/vuln/detail/CVE-2020-9281)Securitumの[Michal
Bentkowski氏](https://twitter.com/securitymb)によって報告されたHTMLデータプロセッサにおけるXSSの脆弱性を修正しました。
問題の要約:被害者に次のことを説明した後、CKEditor内でXSSを実行する可能性がありました。(i)CKEditorをソースモードに切り替えてから、(ii)攻撃者が用意した特別に細工されたHTMLコードを、開かれているCKEditorソース領域に貼り付け、(iii)WYSIWYGモードに切り替えます。または、(i)攻撃者が用意した特別に細工されたHTMLコードをコピーし、(ii)WYSIWYGモードのCKEditorに貼り付けます。
- [CVE-2020-9440](https://nvd.nist.gov/vuln/detail/CVE-2020-9440)Viettel Cyber Securityの[Pham Van Khanh氏]によって報告されたWebSpellChecker DialogプラグインのXSS脆弱性を修正しました(https://twitter.com/rskvp93。
問題の要約:被害者を次のように誘導し、CKEditorを使用してXSSを実行する可能性がありました。(i)CKEditorをソースモードに切り替えてから、(ii)攻撃者が用意した特別に細工されたHTMLコードを、開かれているCKEditorソース領域に貼り付け、(iii)WYSIWYGモードに切り替えます。さらに、(iv)CKEditorで編集できる領域の外でCKEditorコンテンツをプレビューします。
**アップグレードを強く推奨します**
新機能:
- [#2374](https://github.com/ckeditor/ckeditor4/issues/2374): [LibreOfficeからの貼り付け]プラグインを使用して、LibreOffice Writerからリッチコンテンツを貼り付けるサポートを追加しました。(https://ckeditor.com/cke4/addon/pastefromlibreoffice)
- [#2583](https://github.com/ckeditor/ckeditor4/issues/2583): [emoji](https://ckeditor.com/cke4/addon/emoji)提案ボックスが、IDの代わりに一致した絵文字名を表示するように変更しました。
- [#3748](https://github.com/ckeditor/ckeditor4/issues/3748): [colorボタン](https://ckeditor.com/cke4/addon/colorbutton)の状態を改善し、選択したエディターコンテンツの色を反映させるようにしました。
- [#3661](https://github.com/ckeditor/ckeditor4/issues/3661): [Preview](https://ckeditor.com/cke4/addon/preview)プラグインでレンダリングされたスタイリングを順守するために、[Print](https://ckeditor.com/cke4/addon/print)プラグインを改善しました。
- [#3547](https://github.com/ckeditor/ckeditor4/issues/3547):アクティブな[ダイアログ](https://ckeditor.com/cke4/addon/dialog)タブには、「aria-selected = 'true」属性があります。
- [#3441](https://github.com/ckeditor/ckeditor4/issues/3441):複数の[widgets](https://ckeditor.com/cke4/addon/widget)のドラッグアンドドロップに対する改善された[「widget.getClipboardHtml()」](https://ckeditor.com/docs/ckeditor4/latest/api/CKEDITOR_plugins_widget.html#method-getClipboardHtml)サポート。
修正された問題:
- [#3587](https://github.com/ckeditor/ckeditor4/issues/3587):)[Edge、IE]修正済み:
フォーム入力要素を備えた[Widget](https://ckeditor.com/cke4/addon/widget)がタイピング中にフォーカスを失います。
- [#3705](https://github.com/ckeditor/ckeditor4/issues/3705): [Safari]修正済み:Safariは、すべてのコンテンツを選択した後に、[`editor.extractSelectedHtml()`](https://ckeditor.com/docs/ckeditor4/latest/api/CKEDITOR_editor.html#method-extractSelectedHtml)メソッドでブロックを不適切に削除します。
- [#1306](https://github.com/ckeditor/ckeditor4/issues/1306):修正済み:[Font](https://ckeditor.com/cke4/addon/font)プラグインは、同じフォントを複数回再適用すると、ネスト化されたHTML「<span>」タグを作成します。
- [#3498](https://github.com/ckeditor/ckeditor4/issues/3498):修正済み:[widget](https://ckeditor.com/cke4/addon/widget)の一部が選択されている場合、エディターがコピー操作中にエラーをスローします。
- [#2517](https://github.com/ckeditor/ckeditor4/issues/2517): [Chrome、Firefox、Safari]修正済み:選択が既存の[enhanced image] (https://ckeditor.com/cke4/addon/image2)ウィジェットを部分的にカバーするときに新しい画像を挿入すると、エラーがスローされます。
- [#3007](https://github.com/ckeditor/ckeditor4/issues/3007): [Chrome、Firefox、Safari]修正済み:[widget](https://ckeditor.com/cke4/addon/widget)で選択がリリースされると、エディターのコンテンツを変更できません。
- [#3698](https://github.com/ckeditor/ckeditor4/issues/3698):修正済み:[widget](https://ckeditor.com/cke4/addon/widget)が部分的に選択されているときに選択テキストを切り取ると、段落がマージされます。
API の変更:
- [#3387](https://github.com/ckeditor/ckeditor4/issues/3387): [CKEDITOR.ui.richCombo.select()](https://ckeditor.com/docs/ckeditor4/latest/api/CKEDITOR_ui_richCombo.html#method-select)メソッドを追加しました。
- [#3727](https://github.com/ckeditor/ckeditor4/issues/3727):[Colorボタン](https://ckeditor.com/cke4/addon/colorbutton)プラグインで選択された選択色を適用する、新しい「textColor」および「bgColor」コマンドが追加されています。
- [#3728](https://github.com/ckeditor/ckeditor4/issues/3728):[Font](https://ckeditor.com/cke4/addon/colorbutton)プラグインで選択された選択フォントスタイルを適用する新しい「font」および「fontSize」コマンドを追加しました。
- [#3842](https://github.com/ckeditor/ckeditor4/issues/3842): [`editor.getSelectedRanges()`](https://ckeditor.com/docs/ckeditor4/latest/api/CKEDITOR_editor.html#method-getSelectedRanges)エイリアスを追加しました。
- [#3775](https://github.com/ckeditor/ckeditor4/issues/3775):ウィジェット[mask](https://ckeditor.com/docs/ckeditor4/latest/api/CKEDITOR_plugins_widget.html#property-mask)および[parts](https://ckeditor.com/docs/ckeditor4/latest/api/CKEDITOR_plugins_widget.html#property-parts)は、API呼び出しで動的にリフレッシュできるようになりました。
注意:Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。
ソリューション
影響を受けるckeditorパッケージを更新してください。
プラグインの詳細
ファイル名: fedora_2020-a832c215bf.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:fedoraproject:fedora:ckeditor, cpe:/o:fedoraproject:fedora:31
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
エクスプロイトの容易さ: No known exploits are available