云安全日报210407:Debian HTML清理库发现跨站点脚本漏洞,需要尽快升级
python-bleach是一个基于白名单、通过转义或去除标签和属性的方式,来对HTML文本净化的python库。
4月6日,Debian发布了安全更新,修复了HTML清理库python bleach 中发现的跨站点脚本漏洞。以下是漏洞详情:
漏洞详情
来源:https://lists.debian.org/debian-lts-announce/2021/04/msg00006.html
CVE-2021-23980 严重程度: 重要
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。
在python bleach中发现存在跨站点脚本(XSS)漏洞。通过允许的数学或svg;p或br; 和样式,标题,noscript,脚本,textarea,noframes,iframe或带有strip_comments = False的xmp标签造成XSS攻击。
受影响产品及版本
上述漏洞影响Debian9 Stretch python-bleach 2.0-1 + deb9u1之前版本
解决方案
对于Debian 9 Stretch,此问题已在版本python-bleach 2.0-1 + deb9u1中修复,建议及时更新python-bleach软件包。
查看更多漏洞信息 以及升级请访问官网:
https://www.debian.org/lts/security/
您可能也感兴趣:
官方微博/微信
每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

想在手机上看科技资讯和科技八卦吗?
想第一时间看独家爆料和深度报道吗?
请关注TechWeb官方微信公众帐号:
1.用手机扫左侧二维码;
2.在添加朋友里,搜索关注TechWeb。
为您推荐
东南亚多国组建东盟区块链联盟 就数字资产和区块链进行合作
工信部通报138款侵害用户权益行为APP 督促5家应用商店整改
工信部:一季度我国规模以上电子信息制造业增加值同比增长30%
产业链人士:苹果新iPad Pro代工订单将推升富士康4月份营收
任正非:组建为综合管理改进工作组 推进公司的管理改进
大客户对5nm工艺需求强劲 推动台积电提高产出
YouTube用户:如果马斯克接受BCH付款 将购买111辆特斯拉
第一季度特斯拉Model Y加州注册量再次超过Model 3
阅文起点大学“职业作家训练营”第二期开班 三十五位签约作家入学
更多
- 新思科技杨国梁:移动APP安全风险应引起企业重视
- Fortinet升级Security Fabric 公布全新SPU产品FortiSPU-NP7
- 超70家影视传媒单位联合500余位艺人倡议:立即清理未经授权短视频
- 京东:近3年航天迷暴涨 神州十号发射台模型最受欢迎
- 读书类内容曝光量增长超145% 小红书宣布扶持100家出版机构
- 酷开科技推出共享屏 APP 可实现手机、电脑、电视等多个显示设备互联
- 工信部通报138款侵害用户权益行为APP 督促5家应用商店整改
- 工信部:一季度我国规模以上电子信息制造业增加值同比增长30%
- 任正非:组建为综合管理改进工作组 推进公司的管理改进
- 小米获新型手机外观专利授权,背部镜头区域呈闪电式形状
更多
- 东南亚多国组建东盟区块链联盟 就数字资产和区块链进行合作
- 产业链人士:苹果新iPad Pro代工订单将推升富士康4月份营收
- 大客户对5nm工艺需求强劲 推动台积电提高产出
- YouTube用户:如果马斯克接受BCH付款 将购买111辆特斯拉
- 第一季度特斯拉Model Y加州注册量再次超过Model 3
- 亚马逊29日发布一季度财报 云计算营收有望超过130亿美元
- 外媒:苹果iOS 15/iPadOS 15将重新设计iPad主屏幕 更新锁屏通知
- 消息称松下已接近达成收购美国AI软件开发商Blue Yonder交易
- 英特尔CEO:全球芯片短缺可能再持续两年 甚至更久
- 戴姆勒:芯片短缺可能会继续影响其第二季度营收