GLSA-202208-06:lxml:多个漏洞
high Nessus 插件 ID 163984
语言:
描述
远程主机受到 GLSA-202208-06 中所述漏洞的影响(lxml:多个漏洞)- 在 python-lxml 4.6.3 之前版本的清洁模块中发现 XSS 漏洞。禁用 safe_attrs_only 和 forms 参数时,Cleaner 类不会删除 formaction 属性,导致允许 JS 绕过审查器。远程攻击者可利用此缺陷,对与未正确审查 HTML 进行交互的用户运行任意 JS 代码。已在 lxml 中修复此问题 4.6.3。
(CVE-2021-28957)
- lxml 指使用 Python 语言处理 XML 和 HTML 的库。在 4.6.5 之前的版本中,lxml.html 中的 HTML Cleaner 允许某些专门构建的脚本内容以及使用数据 URI 嵌入的 SVG 文件中的脚本内容通过。在与安全性有关的上下文中使用 HTML Cleaner 的用户应升级至 lxml 4.6.5,以便接收补丁。没有已知的解决方法可用。(CVE-2021-43818)
- 空指针取消引用允许攻击者造成拒绝服务(或应用程序崩溃)。仅当 lxml 与 libxml2 2.9.10 至 2.9.14 版一起使用时才适用。libxml2 2.9.9 及更早版本不受影响。考虑到应用程序中存在漏洞的代码序列,攻击者可通过伪造的输入数据触发程序崩溃。该漏洞是由 iterwalk 函数所造成(也被 canonicalize 函数使用)。考虑到 parsing + iterwalk 通常会替换为更有效的 iterparse 函数,不应广泛使用此类代码。但举例而言,序列化为 C14N 的 XML 转换器也容易受到攻击,并且此代码序列存在合法用例。如果通过 iterwalk 函数接收(也是远端接收)和处理不受信任的输入,则可能触发程序崩溃。
(CVE-2022-2309)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
所有 lxml 用户应升级到最新版本:# emerge --sync # emerge --ask --oneshot --verbose >=dev-python/lxml-4.9.1
另见
https://security.gentoo.org/glsa/202208-06
https://bugs.gentoo.org/show_bug.cgi?id=777579
插件详情
严重性: High
ID: 163984
文件名: gentoo_GLSA-202208-06.nasl
版本: 1.3
类型: local
发布时间: 2022/8/10
最近更新时间: 2023/10/16
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2021-43818
CVSS v3
风险因素: High
基本分数: 7.1
时间分数: 6.4
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: cpe:/o:gentoo:linux, p-cpe:/a:gentoo:linux:lxml
必需的 KB 项: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2022/8/10
漏洞发布日期: 2021/3/21