云安全日报210407:Debian HTML清理库发现跨站点脚本漏洞,需要尽快升级
python-bleach是一个基于白名单、通过转义或去除标签和属性的方式,来对HTML文本净化的python库。
4月6日,Debian发布了安全更新,修复了HTML清理库python bleach 中发现的跨站点脚本漏洞。以下是漏洞详情:
漏洞详情
来源:https://lists.debian.org/debian-lts-announce/2021/04/msg00006.html
CVE-2021-23980 严重程度: 重要
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。
在python bleach中发现存在跨站点脚本(XSS)漏洞。通过允许的数学或svg;p或br; 和样式,标题,noscript,脚本,textarea,noframes,iframe或带有strip_comments = False的xmp标签造成XSS攻击。
受影响产品及版本
上述漏洞影响Debian9 Stretch python-bleach 2.0-1 + deb9u1之前版本
解决方案
对于Debian 9 Stretch,此问题已在版本python-bleach 2.0-1 + deb9u1中修复,建议及时更新python-bleach软件包。
查看更多漏洞信息 以及升级请访问官网:
https://www.debian.org/lts/security/
您可能也感兴趣:
官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

想在手机上看科技资讯和科技八卦吗?
想第一时间看独家爆料和深度报道吗?
请关注TechWeb官方微信公众帐号:
1.用手机扫左侧二维码;
2.在添加朋友里,搜索关注TechWeb。
为您推荐
特斯拉股价实现九连涨 距离万亿市值还差近3000亿美元
分析师称苹果应收购迪士尼 以推动Vision Pro普及
集邦咨询预计2024年苹果Vision Pro MR头显出货量约为20万台
微软将向美国国防部、美国宇航局等机构开放GPT-4大模型
OpenAI CEO重申尚未开始训练GPT-5 还有很多工作需要做
周鸿祎直播演示360智脑高考作文 冯仑:及格 但不打动人
网传长安汽车克扣供应商10%货款 官方发声明否认并已报案
Meta旗下社交应用Instagram被曝可能引入AI聊天机器人
苹果公司证实已收购AR头显初创公司Mira
更多
- 荷兰隐私监管机构出于担忧要求OpenAI提供更多信息
- 电动汽车充电桩厂商SK Signet美国首座工厂已建成 下月投入运营
- 三星电子将向现代汽车供应最新一代汽车芯片 用于车载信息娱乐系统
- 史上最小最便宜车型 沃尔沃推出全电动紧凑型SUV EX30
- 数据中心热衷于AI GPU供应多元化 AMD有望成最大受益者
- 特斯拉股价实现九连涨 距离万亿市值还差近3000亿美元
- 分析师称苹果应收购迪士尼 以推动Vision Pro普及
- 集邦咨询预计2024年苹果Vision Pro MR头显出货量约为20万台
- 微软将向美国国防部、美国宇航局等机构开放GPT-4大模型
- OpenAI CEO重申尚未开始训练GPT-5 还有很多工作需要做