GLSA-202208-06:lxml:多個弱點
high Nessus Plugin ID 163984
語系:
說明
遠端主機受到 GLSA-202208-06 中所述的弱點影響 (lxml:多個弱點)- 在 python-lxml 的 clean 模組 4.6.3 之前版本中發現 XSS 弱點。停用 safe_attrs_only 和表單引數時,Cleaner 類別不會移除 formaction 屬性,這會允許 JS 繞過清理程式。遠端攻擊者可惡意利用此瑕疵,針對與未正確清理的 HTML 互動的使用者執行任意 JS 程式碼。此問題已在 lxml 4.6.3 中得到修補。
(CVE-2021-28957)
- lxml 係指以 Python 語言處理 XML 和 HTML 的程式庫。4.6.5 版之前的 lxml.html 中的 HTML Cleaner 會讓以下內容通過:某些特別建構的指令碼內容,以及使用資料 URI 內嵌之 SVG 檔案中的指令碼內容。在安全性相關內容中使用 HTML Cleaner 的使用者應升級至 lxml 4.6.5,以接收修補程式。目前尚無已知的因應措施可以採用。(CVE-2021-43818)
- NULL 指標解除參照弱點允許攻擊者造成拒絕服務 (或應用程式損毀)。這僅在 lxml 與 libxml2 2.9.10 至 2.9.14 版一起使用時適用。libxml2 2.9.9 和更舊版本不受影響。考慮到應用程式中具有弱點的程式碼序列,攻擊者可透過偽造的輸入資料觸發當機。此弱點是由 iterwalk 函式所造成 (canonicalize 函式也有使用) 。考慮到 parsing + iterwalk 通常會替換爲更有效的 iterparse 函式,因而不應廣泛使用這類程式碼。但是舉例而言,序列化為 C14N 的 XML 轉換器也容易受到攻擊,且此程式碼序列有合法的使用案例。如果透過 iterwalk 函式接收 (亦爲遠端接收) 並處理未受信任的輸入,可能會觸發當機。
(CVE-2022-2309)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
所有 lxml 使用者皆應升級至最新版本:# emerge --sync # emerge --ask --oneshot --verbose >=dev-python/lxml-4.9.1
另請參閱
https://security.gentoo.org/glsa/202208-06
https://bugs.gentoo.org/show_bug.cgi?id=777579
Plugin 詳細資訊
嚴重性: High
ID: 163984
檔案名稱: gentoo_GLSA-202208-06.nasl
版本: 1.3
類型: local
已發布: 2022/8/10
已更新: 2023/10/16
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: Medium
基本分數: 6.8
時間分數: 5.3
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2021-43818
CVSS v3
風險因素: High
基本分數: 7.1
時間分數: 6.4
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:gentoo:linux:lxml, cpe:/o:gentoo:linux
必要的 KB 項目: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2022/8/10
弱點發布日期: 2021/3/21