openSUSE セキュリティ更新プログラム: python-bleach(openSUSE-2021-552)

medium Nessus プラグイン ID 148606

Language:

概要

リモートの openSUSE ホストに、セキュリティ更新プログラムがありません。

説明

この python-bleach 用の更新プログラムでは、次の問題が修正されています。

- CVE-2021-23980: 許可されたタグの特定の組み合わせによる bleach.clean の変異 XSS を修正しました (boo#1184547)

3.1.5への更新:

- 欠落している「setuptools」の依存関係を「packaging」で置き換えます。Benjamin Peterson 氏に感謝します。

3.1.4への更新(boo#1168280、CVE-2020-6817):

- スタイル属性を解析する「bleach.clean」動作により、正規表現のサービス拒否 (ReDoS) が発生する可能性があります。許可された「スタイル」属性と許可されたタグによる「bleach.clean」への呼び出しは、ReDoS に対して脆弱です。たとえば、「bleach.clean(..., attributes=('a':
['style']))」です。

- ダッシュのあるスタイル属性、または一重引用符または二重引用符で囲まれた値は、パススルーされる代わりに消去されます。

- 3.1.3 への更新 (boo#1167379、CVE-2020-6816) :

- 行動規範への相対リンクを追加します。(#442)

- 廃止された「setup.py test」サポートをドロップします。(#507)

- 誤字: curren -> current in tests/test_clean.py の最新版を修正します (#504)

- PyPy 7 でのテスト

- 最終版 Python 3.4 のテストサポートをドロップします

- 組み込まれた MathML および SVG コンテンツを RCDATA タグで解析する「bleach.clean」の動作がブラウザの動作と一致せず、変異 XSS が発生する可能性があります。許可されたタグのホワイトリストにおける「strip=False」と「math」または「svg」タグ、および1つ以上のRCDATAタグ「script」、「noscript」、「style」、「noframes」、「iframe」、「noembed」、または「xmp」を使用した「bleach.clean」への呼び出しは、変異XSSに脆弱でした。