Omitir navegación rápida

• Acerca de Debian
• Noticias
• Cómo obtener Debian
• Soporte
• Rincón de los desarrolladores
• Mapa del sitio
• Búsqueda

Aviso de seguridad de Debian

DSA-125-1 analog -- scripts a través del sitio

Fecha del informe:

28 de mar de 2002

Paquetes afectados:

analog

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 4389.
En el diccionario CVE de Mitre: CVE-2002-0166.

Información adicional:

Yuji Takahashi descubrió un error en analog que permite un ataque de tipo script a través del sitio (cross-site scripting). Es fácil para el atacante insertar cadenas arbitrarias en cualquier archivo de log del servidor web. Si estas cadenas son luego analizadas por analog, pueden aparecer en el informe. Esto significa que un atacante puede introducir código Javascript arbitrario, por ejemplo, en un informe de analog producido por alguien y que pueda ser leído por una tercera persona. Analog ya intentaba codificar caracteres no seguros para evitar este tipo de ataque, pero la conversión era incompleta.

Este problema se ha arreglado en la versión siguiente 5.22 de analog. Desafortunadamente, parchear la versión antigua de analog de la distribución estable de Debian es un trabajo muy grande que puede con nosotros.

Recomendamos que actualice su paquete analog inmediatamente.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:

http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.dsc

http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.diff.gz

http://security.debian.org/dists/stable/updates/main/source/analog_5.22.orig.tar.gz

Alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/analog_5.22-0potato1_alpha.deb

ARM:

http://security.debian.org/dists/stable/updates/main/binary-arm/analog_5.22-0potato1_arm.deb

Intel ia32:

http://security.debian.org/dists/stable/updates/main/binary-i386/analog_5.22-0potato1_i386.deb

Motorola 680x0:

http://security.debian.org/dists/stable/updates/main/binary-m68k/analog_5.22-0potato1_m68k.deb

PowerPC:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/analog_5.22-0potato1_powerpc.deb

Sun Sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/analog_5.22-0potato1_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.

Esta página también está disponible en los siguientes idiomas:

dansk Deutsch English français 日本語 (Nihongo) Português svenska

Cómo modificar el idioma por defecto de los documentos