Geschrieben am 12.08.2005 von Mirko Kulpa
Abgelegt unter: Sicherheit
Der Logfile Analyzer AWStats hat bis zur Version 6.4 eine schwere Sicherheitslücke. Über manipulierte Referer in den Zugriffen auf einen Webserver kann Code eingeschleust werden. Der Angreifer benötigt dazu keinen Zugriff auf AWStats. Der Code wird durch einen normalen Zugriff auf eine Webseite in das Log des Webservers geschrieben. AWStats liest dann später das Logfile und interpretiert den manipulierten Referer.
Ursache ist die Übergabe ungeprüfter Parameter an die Perlfunktion eval.
Das Problem soll in der Version 6.5 behoben sein. Diese Version ist momentan allerdings nicht "stable". Ich habe meine Server vorhin aber problemlos aktualisieren können.
Mehr Informationen gibt es im Security Advisory AWStats ShowInfoURL Remote Command Execution Vulnerability von iDEFENSE.
Schreiben Sie Ihre Meinung zu diesem Beitrag. Zur Vermeidung von Kommentar-Spam tragen Sie bitte
im Feld Captcha das Wort Spamschutz ein. Pflichtfelder sind mit einem * gekennzeichnet.
Ihre Email-Adresse wird nicht veröffentlicht.
|