Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
gir1.2-javascriptcoregtk-4.0
(any)
gir1.2-webkit2-4.0
(any)
libjavascriptcoregtk-4.0-18
(any)
libjavascriptcoregtk-4.0-bin
(any)
libjavascriptcoregtk-4.0-dev
(any)
libwebkit2gtk-4.0-37
(any)
libwebkit2gtk-4.0-37-gtk2
(any)
libwebkit2gtk-4.0-dev
(any)
libwebkit2gtk-4.0-doc
(any)
webkit2gtk-driver
(any)
Описание
В веб-движке webkit2gtk было обнаружено несколько уязвимостей:
CVE-2019-8625
Сергей Глазунов обнаружил, что специально сформированное веб-содержимое может
приводить к универсальному межсайтовому скриптингу.
CVE-2019-8720
Вэнь Сюй обнаружил, что специально сформированное веб-содержимое может приводить
к выполнению произвольного кода.
CVE-2019-8769
Пьер Рэмтс обнаружил, что посещение специально сформированного веб-сайта
может привести к раскрытию истории просмотра.
CVE-2019-8771
Элия Штайн обнаружил, что специально сформированное веб-содержимое может
нарушить правило песочницы для iframe.
В стабильном выпуске (buster) эти проблемы были исправлены в
версии 2.26.1-3~deb10u1.
Рекомендуется обновить пакеты webkit2gtk.
С подробным статусом поддержки безопасности webkit2gtk можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/webkit2gtk">https://security-tracker.debian.org/tracker/webkit2gtk">https://security-tracker.debian.org/tracker/webkit2gtk
CVE-2019-8625
Сергей Глазунов обнаружил, что специально сформированное веб-содержимое может
приводить к универсальному межсайтовому скриптингу.
CVE-2019-8720
Вэнь Сюй обнаружил, что специально сформированное веб-содержимое может приводить
к выполнению произвольного кода.
CVE-2019-8769
Пьер Рэмтс обнаружил, что посещение специально сформированного веб-сайта
может привести к раскрытию истории просмотра.
CVE-2019-8771
Элия Штайн обнаружил, что специально сформированное веб-содержимое может
нарушить правило песочницы для iframe.
В стабильном выпуске (buster) эти проблемы были исправлены в
версии 2.26.1-3~deb10u1.
Рекомендуется обновить пакеты webkit2gtk.
С подробным статусом поддержки безопасности webkit2gtk можно ознакомиться на
соответствующей странице отслеживания безопасности по адресу
https://security-tracker.debian.org/tracker/webkit2gtk">https://security-tracker.debian.org/tracker/webkit2gtk">https://security-tracker.debian.org/tracker/webkit2gtk
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 10:
noarch:
gir1.2-javascriptcoregtk-4.0 - 2.26.1-3~deb10u1
gir1.2-webkit2-4.0 - 2.26.1-3~deb10u1
libjavascriptcoregtk-4.0-18 - 2.26.1-3~deb10u1
libjavascriptcoregtk-4.0-bin - 2.26.1-3~deb10u1
libjavascriptcoregtk-4.0-dev - 2.26.1-3~deb10u1
libwebkit2gtk-4.0-37 - 2.26.1-3~deb10u1
libwebkit2gtk-4.0-37-gtk2 - 2.26.1-3~deb10u1
libwebkit2gtk-4.0-dev - 2.26.1-3~deb10u1
libwebkit2gtk-4.0-doc - 2.26.1-3~deb10u1
webkit2gtk-driver - 2.26.1-3~deb10u1
Debian GNU/Linux 10:
noarch:
gir1.2-javascriptcoregtk-4.0 - 2.26.1-3~deb10u1
gir1.2-webkit2-4.0 - 2.26.1-3~deb10u1
libjavascriptcoregtk-4.0-18 - 2.26.1-3~deb10u1
libjavascriptcoregtk-4.0-bin - 2.26.1-3~deb10u1
libjavascriptcoregtk-4.0-dev - 2.26.1-3~deb10u1
libwebkit2gtk-4.0-37 - 2.26.1-3~deb10u1
libwebkit2gtk-4.0-37-gtk2 - 2.26.1-3~deb10u1
libwebkit2gtk-4.0-dev - 2.26.1-3~deb10u1
libwebkit2gtk-4.0-doc - 2.26.1-3~deb10u1
webkit2gtk-driver - 2.26.1-3~deb10u1
Ссылки
Источник: CVE
Наименование: CVE-2019-8625
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8625
Источник: CVE
Наименование: CVE-2019-8720
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8720
Источник: CVE
Наименование: CVE-2019-8769
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8769
Источник: CVE
Наименование: CVE-2019-8771
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8771
http://www.debian.org/security/dsa-4558/
Наименование: CVE-2019-8625
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8625
Источник: CVE
Наименование: CVE-2019-8720
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8720
Источник: CVE
Наименование: CVE-2019-8769
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8769
Источник: CVE
Наименование: CVE-2019-8771
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8771
http://www.debian.org/security/dsa-4558/