DebianDLA-3565-1: ruby-loofah - LTS セキュリティ更新

medium Nessus プラグイン ID 181445

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 10 ホストには、dla-3565 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- Loofah は、Nokogiri の上に構築された、HTML/XML ドキュメントおよびフラグメントを操作および変換するための汎用ライブラリです。Loofah < 2.19.1 に非効率的な正規表現が含まれているため、特定の SVG 属性をサニタイズしようとする際に過剰なバックトラックが発生しやすくなります。これにより、CPU リソースの消費によりサービス拒否が発生する可能性があります。この問題には、バージョン 2.19.1 でパッチが適用されています。(CVE-2022-23514)

- Loofah は、Nokogiri の上に構築された、HTML/XML ドキュメントおよびフラグメントを操作および変換するための汎用ライブラリです。Loofah >= 2.1.0、< 2.19.1 は、データ URI の image/svg+xml メディアタイプを介したクロスサイトスクリプティングに対して脆弱です。この問題には、バージョン 2.19.1 でパッチが適用されています。(CVE-2022-23515)

- Loofah は、Nokogiri の上に構築された、HTML/XML ドキュメントおよびフラグメントを操作および変換するための汎用ライブラリです。Loofah >= 2.2.0、< 2.19.1 は、CDATA セクションをサニタイズするために再帰を使用するため、スタック枯渇の影響を受けやすくなり、SystemStackError 例外が発生します。これにより、CPU リソースの消費によりサービス拒否が発生する可能性があります。この問題には、バージョン 2.19.1 でパッチが適用されています。アップグレードできないユーザーは、サニタイズされる文字列の長さを制限することで、この脆弱性を緩和できる可能性があります。(CVE-2022-23516)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。