Risque
- Exécution de code arbitraire ;
- récupération d'informations ;
- vol de cookies.
Systèmes affectés
Toutes les versions d'Analog antérieures à la version 5.22.
Résumé
Analog est vulnérable à une attaque de type « cross-site scripting ».
Description
Analog est un logiciel utilisé pour le traitement et l'analyse de logs d'un serveur HTTP. Il produit un rapport au format HTML.
Si un utilisateur mal intentionné envoie au serveur HTTP des requêtes contenant des chaînes de caractères, ces chaînes seront alors retranscrites dans les logs du serveur, puis dans le rapport Analog.
En choississant judicieusement les chaînes à insérer (code Javascript par exemple), un utilisateur mal intentionné peut alors faire exécuter ce code par le navigateur de toute personne consultant le rapport créé par Analog.
Solution
Mettre à jour Analog en installant la version 5.22.
Documentation
- Avis de sécurité Debian DSA 125-1 :
http://www.debian.org/security/2002/dsa-125
- Avis de sécurity Analog :
http://www.analog.cx/security4.html
- Note d'information du CERTA sur le cross-site scripting :
http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-001/index.html