blob: f44c51351b10b867260ff8890fafff7a0d3482f8 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
|
#use wml::debian::translation-check translation="12022c9b5ed3b90ab893c8e17490567430523e27"
<define-tag description>scripts a través del sitio</define-tag>
# http://www.analog.cx/security4.html
<define-tag moreinfo>
<p>Yuji Takahashi descubrió un error en analog que permite un ataque de tipo
script a través del sitio (cross-site scripting). Es fácil para el atacante
insertar cadenas arbitrarias en cualquier archivo de log del servidor web.
Si estas cadenas son luego analizadas por analog, pueden aparecer en el
informe. Esto significa que un atacante puede introducir código Javascript
arbitrario, por ejemplo, en un informe de analog producido por alguien y
que pueda ser leído por una tercera persona. Analog ya intentaba codificar
caracteres no seguros para evitar este tipo de ataque, pero la conversión
era incompleta.</p>
<p>Este problema se ha arreglado en la versión siguiente 5.22 de analog.
Desafortunadamente, parchear la versión antigua de analog de la distribución
estable de Debian es un trabajo muy grande que puede con nosotros.</p>
<p>Recomendamos que actualice su paquete analog inmediatamente.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-125.data"
|
