В ruby-kramdown, быстрой утилите на чистом Ruby для выполнения грамматического
разбора и преобразования формата Markdown, была обнаружена уязвимость, которая может
приводить к непреднамеренному чтению файлов или непреднамеренному выполнению кода
на Ruby при использовании расширения {::options /} вместе с опцией
template
.
Данное обновление добавляет новую опцию, forbidden_inline_options
,
для ограничения опций, использование которых разрешено с расширением {::options /}.
По умолчанию опция template
запрещена.
В стабильном выпуске (buster) эта проблема была исправлена в версии 1.17.0-1+deb10u1.
Рекомендуется обновить пакеты ruby-kramdown.
С подробным статусом поддержки безопасности ruby-kramdown можно ознакомиться на соответствующей странице отслеживания безопасности по адресу \ https://security-tracker.debian.org/tracker/ruby-kramdown