USN-6424-1: vulnerabilidad kramdown [crítico]. Se podría hacer que kramdown ejecute código arbitrario si recibiera una entrada especialmente diseñada.
Se descubrió que kramdown no restringía a los formateadores de Rouge al espacio de nombres correcto. Un atacante podría utilizar este problema para provocar que kramdown ejecute código arbitrario. (CVE-2021-28834)

USN-6426-1: Vulnerabilidades de WebKitGTK [crítico]. Se solucionaron varios problemas de seguridad en WebKitGTK.
Se descubrieron varios problemas de seguridad en los motores web y JavaScript WebKitGTK. Si se engañara a un usuario para que visitara un sitio web malicioso, un atacante remoto podría aprovechar una variedad de problemas relacionados con la seguridad del navegador web, incluidos ataques de secuencias de comandos entre sitios, ataques de denegación de servicio y ejecución de código arbitrario. (CVE-2023-41993, CVE-2023-39928, CVE-2023-41074)

Los problemas se pueden corregir actualizando sus sistemas a las siguientes versiones de paquete:

Ubuntu 23.04

• libjavascriptcoregtk-4.0-18 - 2.42.1-0ubuntu0.23.04.1
• libjavascriptcoregtk-4.1-0 - 2.42.1-0ubuntu0.23.04.1
• libjavascriptcoregtk-6.0-1 - 2.42.1-0ubuntu0.23.04.1
• libwebkit2gtk-4.0-37 - 2.42.1-0ubuntu0.23.04.1
• libwebkit2gtk-4.1-0 - 2.42.1-0ubuntu0.23.04.1
• libwebkitgtk-6.0-4 - 2.42.1-0ubuntu0.23.04.1

Ubuntu 22.04

• libjavascriptcoregtk-4.0-18 - 2.42.1-0ubuntu0.22.04.1
• libjavascriptcoregtk-4.1-0 - 2.42.1-0ubuntu0.22.04.1
• libjavascriptcoregtk-6.0-1 - 2.42.1-0ubuntu0.22.04.1
• libwebkit2gtk-4.0-37 - 2.42.1-0ubuntu0.22.04.1
• libwebkit2gtk-4.1-0 - 2.42.1-0ubuntu0.22.04.1
• libwebkitgtk-6.0-4 - 2.42.1-0ubuntu0.22.04.1

Ubuntu 20.04

• ruby-kramdown - 1.17.0-4ubuntu0.2

En general, una actualización estándar del sistema realizará todos los cambios necesarios.

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es