Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Sicherheitslücke in AWStats
#1
Die Statistiksoftware AWStats weist Scherheitslöcher auf, über die Angreifer beliebige Befehle auf dem darunterliegenden Server ausführen könnten. Schuld ist wie schon in der Vergangenheit die unsichere Verwendung bestimmter Perl-Funktionen, über die sich beispielsweise der Linux-Wurm Lupper verbreitet hat.

Aufgrund einer fehlenden Überprüfung der Übergabewerte an den migrate-Parameter von AWStats wird die Benutzereingabe direkt an einen Perl-open-Befehl übergeben. Startet der Übergabewert mit einer Pipe ("|"), interpretiert Perl den darauffolgenden Teil als Shell-Kommando. Für einen erfolgreichen Angriff muss jedoch die Option AllowToUpdateStatsFromBrowser in der Konfiguration aktiviert sein, was standardmäßig nicht der Fall ist.

Anmerkung:

Die Funktion AllowToUpdateStatsFrom Browser ist bei der von uns eingesetzen AWStats-Version von jeher deaktiviert, unsere Konfiguration veranlasst AWStats einmal täglich statisch die Statistiken zu erstellen. DIe o.g. Sicherheitslücke kommt somit nicht zum Tragen!
Mit freundlichen Grüßen / Best Regards

Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg

Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste