- ruby-kramdownは、Kramdownドキュメント内のテンプレートオプションをデフォルトで処理します。これにより、意図しない読み取りアクセス（template='/etc/passwd'など）または意図しない組み込まれたRubyコードが実行（emplate='string:: //<%= `で始まる文字列など）される可能性があります。注:
kramdownは、Jekyll、GitLab Pages、GitHub Pages、Thredded Forumで使用されています。

Debian 9「Stretch」では、この問題はバージョン1.12.0-1+deb9u1で修正されています。

お使いのruby-kramdownパッケージをアップグレードすることを推奨します。

ruby-kramdownの詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/ruby-kramdown

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

検出

Debian DLA-2316-1: ruby-kramdownセキュリティ更新

critical Nessus プラグイン ID 139427

バージョン 1.3