Plusieurs vulnérabilités à distance ont été découvertes dans elog, un journal personnel électronique basé sur la Toile, cela peut conduire à l'exécution de code arbitraire. Le projet des expositions et vulnérabilités communes (CVE) identifie les problèmes suivants :
Tilman Koschnick a découvert que l'édition des entrées du journal en HTML était vulnérable aux scripts intersites. Cette mise à jour désactive le code vulnérable.
Ulf Härnhammar du projet d'audit de sécurité de Debian a découvert plusieurs vulnérabilités de chaînes de formatage dans elog, cela peut conduire à l'exécution de code arbitraire.
Ulf Härnhammar du projet d'audit de sécurité de Debian a découvert des vulnérabilités de script intersites dans la création de nouvelles entrées du journal.
Jayesh KS et Arun Kethipelly de OS2A ont découvert qu'elog n'effectuait pas suffisamment de gestion des erreurs dans l'analyse du fichier de configuration, cela peut conduire à un déni de service par le déréférencement d'un pointeur vide.
Pour la distribution stable (Sarge), ces problèmes ont été corrigés dans la version 2.5.7+r1558-4+sarge3.
La prochaine distribution stable (Etch) ne contient plus elog.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 2.6.2+r1754-1.
Nous vous recommandons de mettre à jour vos paquets elog.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.