Bulletin d'alerte Debian

DSA-125-1 analog -- Trou de sécurité sur les éléments dynamiques

Date du rapport :
28 mars 2002
Paquets concernés :
analog
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 4389.
Dans le dictionnaire CVE du Mitre : CVE-2002-0166.
Plus de précisions :

Yuji Takahashi a découvert un bogue dans analog qui permettait les attaques sur les éléments dynamiques. Il est facile à un assaillant d'ajouter une chaîne de caractères arbitraire dans le journal de tous les serveur web. Si ces chaînes de caractères sont ensuite analysées par analog, elles peuvent apparaître dans le compte rendu. Par ce moyen, un assaillant peut introduire un code Javascript arbitraire, par exemple, dans un compte rendu analog produit par quelqu'un d'autre et lu par une tierce personne. Analog essaie d'ores et déjà d'encoder les caractères dangereux pour éviter ce type d'attaque, mais la conversion était incomplète.

Ce problème a été corrigé dans la version 5.22 de développement d'analog. Malheureusement l'application de la rustine à l'ancienne version d'analog dans la distribution stable de Debian demanderait un travail si important que nous en avons été dissuadés.

Nous vous recommandons de mettre à jour votre paquet analog immédiatement.

Corrigé dans :

Debian GNU/Linux 2.2 (potato)

Source :
http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.dsc
http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/analog_5.22.orig.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/analog_5.22-0potato1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/analog_5.22-0potato1_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/analog_5.22-0potato1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/analog_5.22-0potato1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/analog_5.22-0potato1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/analog_5.22-0potato1_sparc.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.