Avis du CERT-FR

Objet: Vulnérabilité du serveur icecast

Gestion du document

Référence	CERTA-2004-AVI-290
Titre	Vulnérabilité du serveur icecast
Date de la première version	01 septembre 2004
Date de la dernière version	01 septembre 2004
Source(s)	Bulletin de sécurité Debian DSA-541 du 24 août 2004
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code JavaScript.

Systèmes affectés

Pour Debian stable, toutes les versions de icecast-server antérieures à la version 1.3.11-4.2.

Description

Une vulnérabilité de type cross-site scripting permet à un utilisateur mal intentionné, via la variable UserAgent malicieusement construite, d'exécuter du code JavaScript arbitraire sur la plate-forme vulnérable.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Site Internet du serveur icecast :
```
http://www.icecast.org
```
Bulletin de sécurité Debian DSA-541 du 24 août 2004 :
```
http://www.debian.org/security/2004/dsa-541
```

Référence CVE CAN-2004-0781 :

https://www.cve.org/CVERecord?id=CAN-2004-0781

Gestion détaillée du document

le 01 septembre 2004: version initiale.