Рекомендация Debian по безопасности

DSA-125-1 analog -- межсайтовый скриптинг

Дата сообщения:
28.03.2002
Затронутые пакеты:
analog
Уязвим:
Да
Ссылки на базы данных по безопасности:
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 4389.
В каталоге Mitre CVE: CVE-2002-0166.
Более подробная информация:

Юджи Такахаши обнаружил ошибку в analog, которая позволяет выполнять атаки типа межсайтового скриптинга. Злоумышленник может легко вставить произвольные строки в любой файл журнала веб-сервера. Если эти строки будут анализироваться analog, то они будут указаны в отчёте. Таким образом, злоумышленник может добавить произвольные код на языке Javascript, например, в отчёт analog, созданный кем-то ещё, и который будет прочитываться третьей стороной. Разработчики analog уже пытались закодировать небезопасные символы, чтобы избежать подобных атак, но их решение было неполным.

Эта проблема была исправлена в версии 5.22 analog из основной ветки разработки. К сожалению, применить заплату к предыдущей версии analog в стабильном выпуске Debian слишком трудно.

Рекомендуется как можно скорее обновить пакет analog.

Исправлено в:

Debian GNU/Linux 2.2 (potato)

Исходный код:
http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.dsc
http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.diff.gz
http://security.debian.org/dists/stable/updates/main/source/analog_5.22.orig.tar.gz
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/analog_5.22-0potato1_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/analog_5.22-0potato1_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/analog_5.22-0potato1_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/analog_5.22-0potato1_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/analog_5.22-0potato1_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/analog_5.22-0potato1_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.