Aviso de seguridad de Debian

DSA-125-1 analog -- scripts a través del sitio

Fecha del informe:
28 de mar de 2002
Paquetes afectados:
analog
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 4389.
En el diccionario CVE de Mitre: CVE-2002-0166.
Información adicional:

Yuji Takahashi descubrió un error en analog que permite un ataque de tipo script a través del sitio (cross-site scripting). Es fácil para el atacante insertar cadenas arbitrarias en cualquier archivo de log del servidor web. Si estas cadenas son luego analizadas por analog, pueden aparecer en el informe. Esto significa que un atacante puede introducir código Javascript arbitrario, por ejemplo, en un informe de analog producido por alguien y que pueda ser leído por una tercera persona. Analog ya intentaba codificar caracteres no seguros para evitar este tipo de ataque, pero la conversión era incompleta.

Este problema se ha arreglado en la versión siguiente 5.22 de analog. Desafortunadamente, parchear la versión antigua de analog de la distribución estable de Debian es un trabajo muy grande que puede con nosotros.

Recomendamos que actualice su paquete analog inmediatamente.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:
http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.dsc
http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/analog_5.22.orig.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/analog_5.22-0potato1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/analog_5.22-0potato1_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/analog_5.22-0potato1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/analog_5.22-0potato1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/analog_5.22-0potato1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/analog_5.22-0potato1_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.