遠端 Debian 10 主機上安裝的一個套件受到 dla-3565 公告中提及的多個弱點影響。

  - Loofah 是建立在 Nokogiri 之上，用於操控及轉換 HTML/XML 文件和片段的一般程式庫。Loofah 2.19.1 之前版本包含效率低下的規則運算式，在嘗試清理特定的 SVG 屬性時，容易發生過度回溯。這可能會透過 CPU 資源消耗而導致拒絕服務。此問題已在 2.19.1 版中修補。(CVE-2022-23514)

  - Loofah 是建立在 Nokogiri 之上，用於操控及轉換 HTML/XML 文件和片段的一般程式庫。Loofah 2.1.0 及更高版本和 2.19.1 之前版本容易因資料 URI 中的 image/svg+xml 媒體類型而受到跨網站指令碼攻擊。此問題已在 2.19.1 版中修補。(CVE-2022-23515)

  - Loofah 是建立在 Nokogiri 之上，用於操控及轉換 HTML/XML 文件和片段的一般程式庫。Loofah 2.2.0 及更高版本和 2.19.1 之前版本使用遞回來清理 CDATA 區段，因而容易發生堆疊耗盡，並引發 SystemStackError 例外狀況。這可能會透過 CPU 資源消耗而導致拒絕服務。此問題已在 2.19.1 版中修補。無法升級的使用者或許可藉由限制被清理字串的長度來減輕此弱點。(CVE-2022-23516)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Debian DLA-3565-1：ruby-loofah - LTS 安全性更新

medium Nessus Plugin ID 181445

版本 1.2