2020-2601: lxml: Zwei Schwachstellen ermöglichen verschiedene Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2020-11-27 15:12): Neues Advisory
Version 2 (2020-12-10 14:33): Canonical stellt für Ubuntu 20.10, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS, Ubuntu 16.04 LTS, Ubuntu 14.04 ESM und Ubuntu 12.04 ESM Sicherheitsupdates für 'lxml' zur Verfügung, um die Schwachstelle CVE-2020-27783 zu beheben.
Version 3 (2020-12-11 14:24): USN-4666-1 hat die Schwachstelle nur teilweise behoben. Canonical stellt nun für Ubuntu 20.10, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS, Ubuntu 16.04 LTS, Ubuntu 14.04 ESM und Ubuntu 12.04 ESM einen zusätzlichen Patch bereit, um die Schwachstelle ordentlich zu beheben.
Version 4 (2020-12-14 16:08): Für Debian 10 Buster (Stable) steht ein Sicherheitsupdate für 'lxml' in Version 4.3.2-1+deb10u1 bereit, um die Schwachstelle CVE-2020-27783 zu beheben.
Version 5 (2020-12-18 16:20): Für Debian 9 Stretch (LTS) steht ein aktualisiertes Sicherheitsupdate für 'lxml' in Version 3.7.1-1+deb9u3 bereit. Dadurch wird eine Regression behoben und ein verbesserter Patch für CVE-2020-27783 zur Verfügung gestellt.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um verschiedene Cross-Site-Scripting (XSS)-Angriff durchzuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Beide Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'lxml' in Version 3.7.1-1+deb9u1 bereit, um die Schwachstelle zu beheben.

Schwachstellen:

CVE-2018-19787

Schwachstelle in lxml ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-27783