{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Webalizer versions 2.01-06 et ant\u00e9rieures.</P>","content":"## Description\n\nWebalizer est un programme permettant de traiter les fichiers de logs\nd'un serveur HTTP. La nature de certains champs des fichiers de logs\nn'est pas v\u00e9rifi\u00e9e par le programme, et sont int\u00e9gralement retranscrits\ndans le rapport g\u00e9n\u00e9r\u00e9 en HTML.\n\nUn utilisateur mal intentionn\u00e9 peut y inclure des scripts, qui seront\nex\u00e9cut\u00e9s soit par un navigateur parcourant ce rapport, soit par d'autres\nprogrammes qui interpr\u00e8tent ces rapports.\n\nLes deux champs vuln\u00e9rables sont :\n\n-   le nom de la machine acc\u00e8dant au serveur HTTP ;\n-   le champ Referer.\n\n## Contournement provisoire\n\nSi la r\u00e9solution DNS est activ\u00e9e dans webalizer (option -enable-dns),\ns'assurer que le syst\u00e8me de r\u00e9solution DNS inverse filtre les\nm\u00e9ta-caract\u00e8res HTML.  \n\nModifier la configuration de webalizer pour qu'il ne traite plus le\nchamp Referer des fichiers de logs (ce champ est trait\u00e9 dans la\nconfiguration par d\u00e9faut).\n\n## Solution\n\nT\u00e9l\u00e9charger le correctif :\n\n    ftp://ftp.mrunix.net/pub/webalizer/sec-fix.patch\n\n  \n\nou mettre \u00e0 jour webalizer \u00e0 la version 2.01-09.\n","cves":[],"links":[],"reference":"CERTA-2001-AVI-132","revisions":[{"description":"version initiale.","revision_date":"2001-10-26T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire"}],"summary":"Deux vuln\u00e9rabilit\u00e9s du programme webalizer permettent \u00e0 un utilisateur\nmal intentionn\u00e9 d'inclure des scripts dans les rapports HTML g\u00e9n\u00e9r\u00e9s par\nwebalizer.\n","title":"Vuln\u00e9rabilit\u00e9s de webalizer","vendor_advisories":[]}