blob: ee8bd209dbc6245e005e19023762c3f42f353d16 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
|
<define-tag description>udførelse af scripts på et andet netsted</define-tag>
# http://www.analog.cx/security4.html
<define-tag moreinfo>
<p>Yuji Takahashi har fundet en fejl i analog der giver mulighed for angreb af
typen "cross-site scripting", dvs. udførelse af scripts på et andet netsted. Det
er nemt for en angriber at tilføje vilkårlige strenge i en hvilken som helst
webservers logfil. Hvis strengene dernæst analyseres af analog, kan de vises
sig i rapporten. På den måde kan angriberen føje vilkårlig JavaScript-kode til
for eksempel andres analog-rapporter, og gøre den læsbar for andre. I analog
har man allerede forsøgt at indkapsle usikre tegn for at undgå denne form for
angreb, men konverteringen var ufuldstændig.</p>
<p>Problemet er rettet i opstrøms version 5.22 af analog. Desværre er det et
meget større arbejde end vi kan overkomme, at rette den gamle version af analog
i Debians stabile distribution.</p>
<p>Vi anbefaler at du omgående opgraderer din analog-pakke.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-125.data"
#use wml::debian::translation-check translation="12022c9b5ed3b90ab893c8e17490567430523e27"
|