Yuji Takahashi har fundet en fejl i analog der giver mulighed for angreb af typen "cross-site scripting", dvs. udførelse af scripts på et andet netsted. Det er nemt for en angriber at tilføje vilkårlige strenge i en hvilken som helst webservers logfil. Hvis strengene dernæst analyseres af analog, kan de vises sig i rapporten. På den måde kan angriberen føje vilkårlig JavaScript-kode til for eksempel andres analog-rapporter, og gøre den læsbar for andre. I analog har man allerede forsøgt at indkapsle usikre tegn for at undgå denne form for angreb, men konverteringen var ufuldstændig.
Problemet er rettet i opstrøms version 5.22 af analog. Desværre er det et meget større arbejde end vi kan overkomme, at rette den gamle version af analog i Debians stabile distribution.
Vi anbefaler at du omgående opgraderer din analog-pakke.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.