Debian-Sicherheitsankündigung
DSA-125-1 analog -- Site-übergreifendes Scripting
- Datum des Berichts:
- 28. Mär 2002
- Betroffene Pakete:
- analog
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 4389.
In Mitres CVE-Verzeichnis: CVE-2002-0166. - Weitere Informationen:
-
Yuji Takahashi entdeckte einen Fehler in analog, der es erlaubt, einen Site-übergreifenden Scripting-Angriff durchzuführen. Es ist ein Leichtes für einen Angreifer, willkürliche Zeichenketten in die Log-Datei eines Webservers einzufügen. Wenn diese Zeichenketten dann von analog analysiert werden, können Sie im Bericht auftauchen. Das bedeutet, dass ein Angreifer willkürlichen Javascript-Code einführen kann, zum Beispiel in einen analog-Bericht, der von jemandem anderen erzeugt und von einer dritten Person gelesen wird. Analog versucht bereits, unsichere Zeichen zu kodieren, um diese Art des Angriffs zu verhindern, aber die Umsetzung war unvollständig.
Dieses Problem wurde in der Upstream-Version 5.22 von analog behoben. Unglücklicherweise ist uns jedoch die riesige Aufgabe nicht gelungen, die alte Version von analog in der stable Distribution von Debian zu korrigieren.
Wir empfehlen Ihnen, dass Sie Ihr analog-Paket unverzüglich aktualisieren.
- Behoben in:
-
Debian GNU/Linux 2.2 (potato)
- Quellcode:
- http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.dsc
- http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/analog_5.22.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.diff.gz
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/analog_5.22-0potato1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/analog_5.22-0potato1_arm.deb
- Intel ia32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/analog_5.22-0potato1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/analog_5.22-0potato1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/analog_5.22-0potato1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/analog_5.22-0potato1_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.