Debians sikkerhedsbulletin

DSA-125-1 analog -- udførelse af scripts på et andet netsted

Rapporteret den:
28. mar 2002
Berørte pakker:
analog
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 4389.
I Mitres CVE-ordbog: CVE-2002-0166.
Yderligere oplysninger:

Yuji Takahashi har fundet en fejl i analog der giver mulighed for angreb af typen "cross-site scripting", dvs. udførelse af scripts på et andet netsted. Det er nemt for en angriber at tilføje vilkårlige strenge i en hvilken som helst webservers logfil. Hvis strengene dernæst analyseres af analog, kan de vises sig i rapporten. På den måde kan angriberen føje vilkårlig JavaScript-kode til for eksempel andres analog-rapporter, og gøre den læsbar for andre. I analog har man allerede forsøgt at indkapsle usikre tegn for at undgå denne form for angreb, men konverteringen var ufuldstændig.

Problemet er rettet i opstrøms version 5.22 af analog. Desværre er det et meget større arbejde end vi kan overkomme, at rette den gamle version af analog i Debians stabile distribution.

Vi anbefaler at du omgående opgraderer din analog-pakke.

Rettet i:

Debian GNU/Linux 2.2 (potato)

Kildekode:
http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.dsc
http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/analog_5.22.orig.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/analog_5.22-0potato1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/analog_5.22-0potato1_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/analog_5.22-0potato1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/analog_5.22-0potato1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/analog_5.22-0potato1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/analog_5.22-0potato1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.