Un défaut a été découvert dans ruby-kramdown, un analyseur et un
convertisseur Markdown rapide et pur Ruby, qui pourrait avoir pour
conséquence dans un accès en lectures non prévu à des fichiers ou à
l'exécution de code Ruby embarqué non prévu quand l'extension
{::options /} est utilisée en même temps que l'option
template
.
La mise à jour introduit une nouvelle option
forbidden_inline_options
pour limiter les options permises avec
l'extension {::options /}. Par défaut l'option template
est interdite.
Pour la distribution stable (Buster), ce problème a été corrigé dans la version 1.17.0-1+deb10u1.
Nous vous recommandons de mettre à jour vos paquets ruby-kramdown.
Pour disposer d'un état détaillé sur la sécurité de ruby-kramdown, veuillez consulter sa page de suivi de sécurité à l'adresse : \ https://security-tracker.debian.org/tracker/ruby-kramdown.