Säkerhetsbulletin från Debian
DSA-125-1 analog -- serveröverskridande skriptsårbarhet
- Rapporterat den:
- 2002-03-28
- Berörda paket:
- analog
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 4389.
I Mitres CVE-förteckning: CVE-2002-0166. - Ytterligare information:
-
Yuji Takahashi upptäckte ett fel i analog som möjliggör serveröverskridande skriptangrepp. Det är lätt för en angripare att lägga in godtyckliga strängar i valfri webbservers loggfil – om dessa strängar sedan analyseras av analog kan de dyka upp i rapporten. På detta sätt kan en angripare introducera godtycklig Javascriptkod, till exempel, i en analog-rapport producerad av någon annan och göra den läsbar för en tredjepart. Analog försökte redan kapsla in osäkra tecken för att undvika denna typ av angrepp, men översättningen var ofullständig.
Detta problem har rättats i uppströmsversion 5.22 av analog. Att rätta den gamla versionen av analog i den stabila utgåvan av Debian är en mycket omfattande uppgift, och något som övergår vår förmåga.
Vi rekommenderar att ni uppgraderar ert analog-paket omedelbart.
- Rättat i:
-
Debian GNU/Linux 2.2 (potato)
- Källkod:
- http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.dsc
- http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/analog_5.22.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/analog_5.22-0potato1.diff.gz
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/analog_5.22-0potato1_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/analog_5.22-0potato1_arm.deb
- Intel ia32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/analog_5.22-0potato1_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/analog_5.22-0potato1_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/analog_5.22-0potato1_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/analog_5.22-0potato1_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.