[안전] 노코지리를 1.10.4에서 1.10.8로 높인다.

묘사

1.10.4에서 1.10.8까지의 충돌nokogiri.이 업데이트에는 보안 복구 프로그램이 포함되어 있습니다.
취약점 복구
출처The Ruby Advisory Database.

Nokogiri gem, via libxslt, is affected by multiple vulnerabilities Nokogiri v1.10.5 has been released.

This is a security release. It addresses three CVEs in upstream libxml2, for which details are below.

If you're using your distro's system libraries, rather than Nokogiri's vendored libraries, there's no security need to upgrade at this time, though you may want to check with your distro whether they've patched this (Canonical has patched Ubuntu packages). Note that libxslt 1.1.34 addresses these vulnerabilities.

Full details about the security update are available in Github Issue [#1943] sparklemotion/nokogiri#1943.

---

CVE-2019-13117

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-13117.html

... (truncated)

Patched versions: >= 1.10.5 Unaffected versions: none

릴리즈 노트
출처nokogiri's releases.

1.10.8 / 2020-02-10

보안

[MRI] Pulled in upstream patch from libxml that addresses CVE-2020-7595. Full details are available in #1992. Note that this patch is not yet (as of 2020-02-10) in an upstream release of libxml.

1.10.7 / 2019-12-03

허물

• [MRI] Ensure the patch applied in v1.10.6 works with GNU patch. #1954

1.10.6 / 2019-12-03

허물

• [MRI] Fix FreeBSD installation of vendored libxml2. [#1941, #1953] (Thanks, @nurse!)

1.10.5 / 2019-10-31

의존 관계

• [MRI] vendored libxml2 is updated from 2.9.9 to 2.9.10
• [MRI] vendored libxslt is updated from 1.1.33 to 1.1.34

변경 로그
출처nokogiri's changelog.

1.10.8 / 2020-02-10

보안

[MRI] Pulled in upstream patch from libxml that addresses CVE-2020-7595. Full details are available in #1992. Note that this patch is not yet (as of 2020-02-10) in an upstream release of libxml.

1.10.7 / 2019-12-03

고정했어

• [MRI] Ensure the patch applied in v1.10.6 works with GNU patch. [#1954]

1.10.6 / 2019-12-03

고정했어

• [MRI] Fix FreeBSD installation of vendored libxml2. [#1941, #1953] (Thanks, @nurse!)

1.10.5 / 2019-10-31

보안

[MRI] Vendored libxslt upgraded to v1.1.34 which addresses three CVEs for libxslt:

• CVE-2019-13117
• CVE-2019-13118
• CVE-2019-18197
• CVE-2019-19956

More details are available at #1943.

의존 관계

• [MRI] vendored libxml2 is updated from 2.9.9 to 2.9.10
• [MRI] vendored libxslt is updated from 1.1.33 to 1.1.34

언약

6ce10d1 버전이 v1로 업그레이드되었습니다.10.8

2320f5b v1의 변경 로그를 업데이트합니다.10.8

4a77fdb 호미 명세서

의 패치 제거

570b6cb 라크 컴파일러를 사용하여 ~1.1.0

업데이트
CVE-2020-7595

2cdb68e 후면 포트libxml2 패치

e6b3229 버전이 v1로 업그레이드되었습니다.10.7

4f9d443 업데이트 변경 로그

80e67ef 패치 수리#1953git 및 patch

7cf1b85 생성된 메타데이터의 타자 오류 수정

d76180d gem 메타데이터 추가

compare view

에서 볼 수 있는 추가 제출

이 PR과의 충돌은 사용자가 직접 변경하지 않는 한 해결될 수 있습니다.주석@dependabot rebase을 사용하여 수동으로 재기준을 트리거할 수도 있습니다.
신뢰성 명령 및 옵션
이 PR에 의견을 달면 Cortebot 작업을 트리거할 수 있습니다.
- "@relateot rebase"는 이 PR의 기초를 재설정합니다.
- "@relateot recreate"는 이 PR을 다시 만들고 편집한 내용을 덮어씁니다.
- "@cordenot merge"는 CI 전송 후 이 PR을 병합합니다.
- "@relateot squash and merge"는 CI 전송 후 이 PR을 누르고 병합합니다.
- "@Correlot cancel merge"는 이전에 요청한 병합을 취소하고 자동 병합을 차단합니다.
- 이 PR이 종료되면 @Correlot Recover에서 다시 열립니다.
- @CorrelotClose가 PR을 닫고 Correlott를 중지하고 다시 생성합니다.수동으로 닫아서 같은 결과를 얻을 수 있습니다
- "@corderot ignore this main version"은 이 PR을 닫고 Corderot가 이 주요 버전의 콘텐츠를 다시 만드는 것을 중지합니다. (PR을 다시 열거나 업그레이드하지 않는 한)
- "@corderot ignore this minor version"은 이 PR을 닫고 corderot가 이 minor version에 대해 더 많은 PR을 만드는 것을 중지합니다. (PR을 다시 열거나 PR로 업그레이드하지 않는 한)
- "@corderot ignore this dependency"는 이 PR을 닫고 이 의존항에 대한 corderot의 내용을 다시 만들지 않습니다(PR을 다시 열거나 PR로 업그레이드하지 않는 한)
- "@cordeot use this label"현재 태그를 재구매 프로토콜 및 언어의 미래 PRs 기본 태그로 설정
- "@cordenot use this reviewers"현재 검토자를 해당 재구매 계약 및 언어의 미래 PRs에 대한 기본 검토자로 설정
- "@corderiot use this assignees"는 현재 소유자를 재구매 프로토콜과 언어의 미래 PRs에 대한 기본값으로 설정합니다.
- "@cordeot use this milestone"은 현재 이정표를 재구매 계약 및 언어의 미래 PRs에 대한 기본 이정표로 설정
- "@Relateot badge me"는 자술한 파일에 "Relateot enabled"배지를 추가할 수 있도록 코드로 이 홍보에 대해 설명합니다.
또한 Correlot[대시보드]에서 다음을 설정할 수도 있습니다(https://app.dependabot.com):
- 업데이트 빈도(하루 중 시간과 일주일 중 날짜 포함)
- 끌어오기 요청 제한(업데이트가 실행될 때마다/또는 언제든지 열려 있음)
- 범위 밖의 업데이트(필요한 경우 잠금 파일 업데이트만 수신)
- 보안 업데이트(필요한 경우 보안 업데이트만 수신)

토론 #1

는 #55로 대체됩니다.