{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<P>Toutes les versions d'<SPAN class=\"textit\">Analog</SPAN>  ant\u00e9rieures \u00e0 la version 5.22.</P>","content":"## Description\n\nAnalog est un logiciel utilis\u00e9 pour le traitement et l'analyse de logs\nd'un serveur HTTP. Il produit un rapport au format HTML.\n\nSi un utilisateur mal intentionn\u00e9 envoie au serveur HTTP des requ\u00eates\ncontenant des cha\u00eenes de caract\u00e8res, ces cha\u00eenes seront alors\nretranscrites dans les logs du serveur, puis dans le rapport Analog.\n\nEn choississant judicieusement les cha\u00eenes \u00e0 ins\u00e9rer (code Javascript\npar exemple), un utilisateur mal intentionn\u00e9 peut alors faire ex\u00e9cuter\nce code par le navigateur de toute personne consultant le rapport cr\u00e9\u00e9\npar Analog.\n\n## Solution\n\nMettre \u00e0 jour Analog en installant la version 5.22.\n","cves":[],"links":[{"title":"Note d'information du CERTA sur le cross-site scripting :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-001/index.html"},{"title":"Avis de s\u00e9curity Analog :","url":"http://www.analog.cx/security4.html"},{"title":"Avis de s\u00e9curit\u00e9 Debian DSA 125-1 :","url":"http://www.debian.org/security/2002/dsa-125"}],"reference":"CERTA-2002-AVI-065","revisions":[{"description":"version initiale.","revision_date":"2002-03-29T00:00:00.000000"}],"risks":[{"description":"R\u00e9cup\u00e9ration d'informations"},{"description":"Ex\u00e9cution de code arbitraire"},{"description":"Vol de cookies"}],"summary":"<span class=\"textit\">Analog</span> est vuln\u00e9rable \u00e0 une attaque de type\n\u00ab <span class=\"textit\">cross-site scripting</span> \u00bb.\n","title":"Vuln\u00e9rabilit\u00e9 du logiciel Analog","vendor_advisories":[{"published_at":null,"title":"Avis de S\u00e9curit\u00e9 Debian DSA 125-1","url":null}]}