Sauter le menu

• À propos de Debian
• Actualités
• Obtenir Debian
• Assistance
• Le coin du développeur
• Plan du site
• Recherche

Bulletin d'alerte Debian

DSA-125-1 analog -- Trou de sécurité sur les éléments dynamiques

Date du rapport:

28 mars 2002

Paquets concernés:

analog

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans la base de données de suivi des bogues (chez SecurityFocus) : Identificateur BugTraq 4389.
Dans le dictionnaire CVE du Mitre : CVE-2002-0166.

Pour plus d'information:

Yuji Takahashi a découvert un bogue dans analog qui permettait les attaques sur les éléments dynamiques. Il est facile à un assaillant d'ajouter une chaîne de caractères arbitraire dans le journal de tous les serveur web. Si ces chaînes de caractères sont ensuite analysées par analog, elles peuvent apparaître dans le compte rendu. Par ce moyen, un assaillant peut introduire un code Javascript arbitraire, par exemple, dans un compte rendu analog produit par quelqu'un d'autre et lu par une tierce personne. Analog essaie d'ores et déjà d'encoder les caractères dangereux pour éviter ce type d'attaque, mais la conversion était incomplète.

Ce problème a été corrigé dans la version 5.22 de développement d'analog. Malheureusement l'application de la rustine à l'ancienne version d'analog dans la distribution stable de Debian demanderait un travail si important que nous en avons été dissuadés.

Nous vous recommandons de mettre à jour votre paquet analog immédiatement.

Corrigé dans:

Debian GNU/Linux 2.2 (potato)

Source :

http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.dsc

http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.diff.gz

http://security.debian.org/dists/stable/updates/main/source/analog_5.22.orig.tar.gz

Alpha:

http://security.debian.org/dists/stable/updates/main/binary-alpha/analog_5.22-0potato1_alpha.deb

ARM:

http://security.debian.org/dists/stable/updates/main/binary-arm/analog_5.22-0potato1_arm.deb

Intel ia32:

http://security.debian.org/dists/stable/updates/main/binary-i386/analog_5.22-0potato1_i386.deb

Motorola 680x0:

http://security.debian.org/dists/stable/updates/main/binary-m68k/analog_5.22-0potato1_m68k.deb

PowerPC:

http://security.debian.org/dists/stable/updates/main/binary-powerpc/analog_5.22-0potato1_powerpc.deb

Sun Sparc:

http://security.debian.org/dists/stable/updates/main/binary-sparc/analog_5.22-0potato1_sparc.deb

Les hachés MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Cette page est aussi disponible dans les langues suivantes :

dansk Deutsch English español 日本語 (Nihongo) Português svenska

Comment configurer la langue par défaut du document