Yuji Takahashi entdeckte einen Fehler in analog, der es erlaubt, einen Site-übergreifenden Scripting-Angriff durchzuführen. Es ist ein Leichtes für einen Angreifer, willkürliche Zeichenketten in die Log-Datei eines Webservers einzufügen. Wenn diese Zeichenketten dann von analog analysiert werden, können Sie im Bericht auftauchen. Das bedeutet, dass ein Angreifer willkürlichen Javascript-Code einführen kann, zum Beispiel in einen anlog-Bericht, der von jemandem anderen erzeugt und von einer dritten Person gelesen wird. Analog versucht bereits, unsichere Zeichen zu kodieren, um diese Art des Angriffs zu verhindern, aber die Umsetzung war unvollständig.
Dieses Problem wurde in der Upstream-Version 5.22 von analog behoben. Unglücklicherweise ist uns jedoch die riesige Aufgabe nicht gelungen, die alte Version von analog in der stable Distribution von Debian zu korrigieren.
Wir empfehlen Ihnen, dass Sie Ihr analog-Paket unverzüglich aktualisieren.
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.