Alerta de Segurança Debian

DSA-125-1 analog -- cross-site scripting

Data do Alerta:
28 Mar 2002
Pacotes Afetados:
analog
Vulnerável:
Sim
Referência à base de dados de segurança:
Na base de dados do BugTraq (na SecurityFocus): ID BugTraq 4389.
No dicionário CVE do Mitre: CVE-2002-0166.
Informações adicionais:

Yuji Takahashi descobriu uma falha no analog que permite ataques do tipo cross-site scripting. É fácil para um atacante inserir uma palavra arbitrária em qualquer arquivo de log de web servers. Se estas palavras forem analisadas pelo analog, elas podem aparecer no relatório. Isto significa que um atacante pode introduzir um código Javascript indesejado, por exemplo, em um relatório do analog produzido por alguém e este ser lido por uma terceira pessoa. Já existe uma tentiva de codificar caracteres inseguros para evitar este tipo de ataque no analog, mas a conversão não foi completada.

Este problema foi corrigido na versão 5.22 do autor do analog. Infelizmente, corrigir a antiga versão do analog na distribuição estável do Debian é um trabalho muito grande que nos derrotaria.

Nós recomendamos que você atualize seu pacote analog imediatamente.

Corrigido em:

Debian GNU/Linux 2.2 (potato)

Fonte:
http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.dsc
http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/analog_5.22.orig.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/analog_5.22-0potato1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/analog_5.22-0potato1_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/analog_5.22-0potato1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/analog_5.22-0potato1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/analog_5.22-0potato1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/analog_5.22-0potato1_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.