S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 29 mars 2002
N° CERTA-2002-AVI-065
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité du logiciel Analog

Gestion du document

Référence CERTA-2002-AVI-065
Titre Vulnérabilité du logiciel Analog
Date de la première version29 mars 2002
Date de la dernière version29 mars 2002
Source(s) Avis de Sécurité Debian DSA 125-1
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Exécution de code arbitraire
  • Récupération d'informations
  • Vol de cookies

Systèmes affectés

Toutes les versions d'Analog antérieures à la version 5.22.

Résumé

Analog est vulnérable à une attaque de type « cross-site scripting ».

Description

Analog est un logiciel utilisé pour le traitement et l'analyse de logs d'un serveur HTTP. Il produit un rapport au format HTML.

Si un utilisateur mal intentionné envoie au serveur HTTP des requêtes contenant des chaînes de caractères, ces chaînes seront alors retranscrites dans les logs du serveur, puis dans le rapport Analog.

En choississant judicieusement les chaînes à insérer (code Javascript par exemple), un utilisateur mal intentionné peut alors faire exécuter ce code par le navigateur de toute personne consultant le rapport créé par Analog.

Solution

Mettre à jour Analog en installant la version 5.22.

Documentation

Gestion détaillée du document

    le 29 mars 2002
    version initiale.