CERTA-2002-AVI-065
Vulnerability from certfr_avis - Published: - Updated:
Analog est vulnérable à une attaque de type « cross-site scripting ».
Description
Analog est un logiciel utilisé pour le traitement et l'analyse de logs d'un serveur HTTP. Il produit un rapport au format HTML.
Si un utilisateur mal intentionné envoie au serveur HTTP des requêtes contenant des chaînes de caractères, ces chaînes seront alors retranscrites dans les logs du serveur, puis dans le rapport Analog.
En choississant judicieusement les chaînes à insérer (code Javascript par exemple), un utilisateur mal intentionné peut alors faire exécuter ce code par le navigateur de toute personne consultant le rapport créé par Analog.
Solution
Mettre à jour Analog en installant la version 5.22.
Toutes les versions d'Analog antérieures à la version 5.22.
Impacted products
| Vendor | Product | Description |
|---|
References
| Title | Publication Time | Tags | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
||||||||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eToutes les versions d\u0027\u003cSPAN class=\"textit\"\u003eAnalog\u003c/SPAN\u003e ant\u00e9rieures \u00e0 la version 5.22.\u003c/P\u003e",
"content": "## Description\n\nAnalog est un logiciel utilis\u00e9 pour le traitement et l\u0027analyse de logs\nd\u0027un serveur HTTP. Il produit un rapport au format HTML.\n\nSi un utilisateur mal intentionn\u00e9 envoie au serveur HTTP des requ\u00eates\ncontenant des cha\u00eenes de caract\u00e8res, ces cha\u00eenes seront alors\nretranscrites dans les logs du serveur, puis dans le rapport Analog.\n\nEn choississant judicieusement les cha\u00eenes \u00e0 ins\u00e9rer (code Javascript\npar exemple), un utilisateur mal intentionn\u00e9 peut alors faire ex\u00e9cuter\nce code par le navigateur de toute personne consultant le rapport cr\u00e9\u00e9\npar Analog.\n\n## Solution\n\nMettre \u00e0 jour Analog en installant la version 5.22.\n",
"cves": [],
"links": [
{
"title": "Note d\u0027information du CERTA sur le cross-site scripting :",
"url": "http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-001/index.html"
},
{
"title": "Avis de s\u00e9curity Analog :",
"url": "http://www.analog.cx/security4.html"
},
{
"title": "Avis de s\u00e9curit\u00e9 Debian DSA 125-1 :",
"url": "http://www.debian.org/security/2002/dsa-125"
}
],
"reference": "CERTA-2002-AVI-065",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2002-03-29T00:00:00.000000"
}
],
"risks": [
{
"description": "R\u00e9cup\u00e9ration d\u0027informations"
},
{
"description": "Ex\u00e9cution de code arbitraire"
},
{
"description": "Vol de cookies"
}
],
"summary": "\u003cspan class=\"textit\"\u003eAnalog\u003c/span\u003e est vuln\u00e9rable \u00e0 une attaque de type\n\u00ab \u003cspan class=\"textit\"\u003ecross-site scripting\u003c/span\u003e \u00bb.\n",
"title": "Vuln\u00e9rabilit\u00e9 du logiciel Analog",
"vendor_advisories": [
{
"published_at": null,
"title": "Avis de S\u00e9curit\u00e9 Debian DSA 125-1",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…