Säkerhetsproblem med statistikverktyget Urchin

Urchin är ett statistikverktyg för att analyera besökartrafik. Det köptes år 2005 av Google och är det program som ligger till grund för Google Analytics.

Nu har det kommit fram Urchin v5.7.03 verkar vara sårbart mot XSS-attacker och att det i vissa fall verkar att kringgå inloggningsskyddet. Ha.ckers.org har mer info och visar exempel på hur man kan länka in JavaScript från en extern sajt, till inloggningsformuläret i Urchin.

Vi jobbar med några servrar som det körs Urchin på och har kunnat bekräfta XSS-problemen. Här är ett exempel på en länk som jag lyckades köra (adressen och portnumret är påhittade)

Så jag rekommenderar alla som kör Urchin på sina servrar att omedelbart stänga av "remote login"om det skulle vara igång.

Nu hoppas vi på att det kommer en säkerhetsuppdatering som fixar dessa problem.

Uppdatering: Problemet har även tagits upp i Google Gruppen för Urchin. Urchin 5 Software > Cross Site Scripting XSS Vulnerability