CERTA-2002-AVI-065
Vulnerability from certfr_avis
Analog est vulnérable à une attaque de type « cross-site scripting ».
Description
Analog est un logiciel utilisé pour le traitement et l'analyse de logs d'un serveur HTTP. Il produit un rapport au format HTML.
Si un utilisateur mal intentionné envoie au serveur HTTP des requêtes contenant des chaînes de caractères, ces chaînes seront alors retranscrites dans les logs du serveur, puis dans le rapport Analog.
En choississant judicieusement les chaînes à insérer (code Javascript par exemple), un utilisateur mal intentionné peut alors faire exécuter ce code par le navigateur de toute personne consultant le rapport créé par Analog.
Solution
Mettre à jour Analog en installant la version 5.22.
Toutes les versions d'Analog antérieures à la version 5.22.
Impacted products
| Vendor | Product | Description |
|---|
References
| Title | Publication Time | Tags | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
||||||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eToutes les versions d\u0027\u003cSPAN class=\"textit\"\u003eAnalog\u003c/SPAN\u003e ant\u00e9rieures \u00e0 la version 5.22.\u003c/P\u003e",
"content": "## Description\n\nAnalog est un logiciel utilis\u00e9 pour le traitement et l\u0027analyse de logs\nd\u0027un serveur HTTP. Il produit un rapport au format HTML.\n\nSi un utilisateur mal intentionn\u00e9 envoie au serveur HTTP des requ\u00eates\ncontenant des cha\u00eenes de caract\u00e8res, ces cha\u00eenes seront alors\nretranscrites dans les logs du serveur, puis dans le rapport Analog.\n\nEn choississant judicieusement les cha\u00eenes \u00e0 ins\u00e9rer (code Javascript\npar exemple), un utilisateur mal intentionn\u00e9 peut alors faire ex\u00e9cuter\nce code par le navigateur de toute personne consultant le rapport cr\u00e9\u00e9\npar Analog.\n\n## Solution\n\nMettre \u00e0 jour Analog en installant la version 5.22.\n",
"cves": [],
"initial_release_date": "2002-03-29T00:00:00",
"last_revision_date": "2002-03-29T00:00:00",
"links": [
{
"title": "Note d\u0027information du CERTA sur le cross-site scripting :",
"url": "http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-001/index.html"
},
{
"title": "Avis de s\u00e9curity Analog :",
"url": "http://www.analog.cx/security4.html"
},
{
"title": "Avis de s\u00e9curit\u00e9 Debian DSA 125-1 :",
"url": "http://www.debian.org/security/2002/dsa-125"
}
],
"reference": "CERTA-2002-AVI-065",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2002-03-29T00:00:00.000000"
}
],
"risks": [
{
"description": "R\u00e9cup\u00e9ration d\u0027informations"
},
{
"description": "Ex\u00e9cution de code arbitraire"
},
{
"description": "Vol de cookies"
}
],
"summary": "\u003cspan class=\"textit\"\u003eAnalog\u003c/span\u003e est vuln\u00e9rable \u00e0 une attaque de type\n\u00ab \u003cspan class=\"textit\"\u003ecross-site scripting\u003c/span\u003e \u00bb.\n",
"title": "Vuln\u00e9rabilit\u00e9 du logiciel Analog",
"vendor_advisories": [
{
"published_at": null,
"title": "Avis de S\u00e9curit\u00e9 Debian DSA 125-1",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.
Loading…
Loading…