FERRAMENTAS LINUX: Atualização de segurança do Debian LTS para o jupyter-notebook, aviso Debian LTS: DLA-2432-1

quinta-feira, 19 de novembro de 2020

Atualização de segurança do Debian LTS para o jupyter-notebook, aviso Debian LTS: DLA-2432-1

 


Confira !!


Várias vulnerabilidades foram descobertas no jupyter-notebook. CVE-2018-8768


- ------------------------------------------------- ------------------------

Debian LTS Advisory DLA-2432-1                 debian-lts@lists.debian.org

https://www.debian.org/lts/security/ Abhijith PA

19 de novembro de 2020 https://wiki.debian.org/LTS

- ------------------------------------------------- ------------------------


Pacote: caderno-jupyter

Versão: 4.2.3-4 + deb9u1

CVE ID: CVE-2018-8768 CVE-2018-19351 CVE-2018-21030

Bug Debian: 893436 917409


Várias vulnerabilidades foram descobertas no jupyter-notebook.


CVE-2018-8768


    Um arquivo de notebook falsificado com códigos maliciosos pode ignorar a limpeza para ser executado

    Javascript no contexto do notebook. Especificamente, o HTML inválido é

    'corrigido' pelo jQuery após a higienização, tornando-o perigoso.


CVE-2018-19351


    permite XSS por meio de um notebook não confiável porque as respostas do nbconvert são

    considerado como tendo a mesma origem do servidor de notebook.


CVE-2018-21030


    O jupyter-notebook não usa um cabeçalho CSP para tratar os arquivos servidos como

    pertencer a uma origem separada. Assim, por exemplo, uma carga útil XSS pode

    ser colocado em um documento SVG.


Para o Debian 9 stretch, esses problemas foram corrigidos na versão

4.2.3-4 + deb9u1.


Recomendamos que você atualize seus pacotes jupyter-notebook.


Para o status de segurança detalhado do jupyter-notebook, consulte

sua página de rastreador de segurança em:

https://security-tracker.debian.org/tracker/jupyter-notebook


Mais informações sobre os avisos de segurança Debian LTS, como se inscrever

essas atualizações em seu sistema e as perguntas mais frequentes podem ser

encontrado em: https://wiki.debian.org/LTS


Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário