Рекомендация Debian по безопасности
DSA-125-1 analog -- межсайтовый скриптинг
- Дата сообщения:
- 28.03.2002
- Затронутые пакеты:
- analog
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 4389.
В каталоге Mitre CVE: CVE-2002-0166. - Более подробная информация:
-
Юджи Такахаши обнаружил ошибку в analog, которая позволяет выполнять атаки типа межсайтового скриптинга. Злоумышленник может легко вставить произвольные строки в любой файл журнала веб-сервера. Если эти строки будут анализироваться analog, то они будут указаны в отчёте. Таким образом, злоумышленник может добавить произвольные код на языке Javascript, например, в отчёт analog, созданный кем-то ещё, и который будет прочитываться третьей стороной. Разработчики analog уже пытались закодировать небезопасные символы, чтобы избежать подобных атак, но их решение было неполным.
Эта проблема была исправлена в версии 5.22 analog из основной ветки разработки. К сожалению, применить заплату к предыдущей версии analog в стабильном выпуске Debian слишком трудно.
Рекомендуется как можно скорее обновить пакет analog.
- Исправлено в:
-
Debian GNU/Linux 2.2 (potato)
- Исходный код:
- http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.dsc
- http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/analog_5.22.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.diff.gz
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/analog_5.22-0potato1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/analog_5.22-0potato1_arm.deb
- Intel ia32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/analog_5.22-0potato1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/analog_5.22-0potato1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/analog_5.22-0potato1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/analog_5.22-0potato1_sparc.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.