Alerta de Segurança Debian
DSA-125-1 analog -- cross-site scripting
- Data do Alerta:
- 28 Mar 2002
- Pacotes Afetados:
- analog
- Vulnerável:
- Sim
- Referência à base de dados de segurança:
- Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 4389.
No dicionário CVE do Mitre: CVE-2002-0166. - Informações adicionais:
-
Yuji Takahashi descobriu uma falha no analog que permite ataques do tipo cross-site scripting. É fácil para um atacante inserir uma palavra arbitrária em qualquer arquivo de log de web servers. Se estas palavras forem analisadas pelo analog, elas podem aparecer no relatório. Isto significa que um atacante pode introduzir um código Javascript indesejado, por exemplo, em um relatório do analog produzido por alguém e este ser lido por uma terceira pessoa. Já existe uma tentativa de codificar caracteres inseguros para evitar este tipo de ataque no analog, mas a conversão não foi completada.
Este problema foi corrigido na versão 5.22 do autor do analog. Infelizmente, corrigir a antiga versão do analog na distribuição estável do Debian é um trabalho muito grande que nos derrotaria.
Nós recomendamos que você atualize seu pacote analog imediatamente.
- Corrigido em:
-
Debian GNU/Linux 2.2 (potato)
- Fonte:
- http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.dsc
- http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/analog_5.22.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.diff.gz
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/analog_5.22-0potato1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/analog_5.22-0potato1_arm.deb
- Intel ia32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/analog_5.22-0potato1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/analog_5.22-0potato1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/analog_5.22-0potato1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/analog_5.22-0potato1_sparc.deb
Checksums MD5 dos arquivos listados estão disponíveis no alerta original.