Sicherheitslücke in AWStats

[ok-webhosting]

Die Statistiksoftware AWStats weist Scherheitslöcher auf, über die Angreifer beliebige Befehle auf dem darunterliegenden Server ausführen könnten. Schuld ist wie schon in der Vergangenheit die unsichere Verwendung bestimmter Perl-Funktionen, über die sich beispielsweise der Linux-Wurm Lupper verbreitet hat.

Aufgrund einer fehlenden Überprüfung der Übergabewerte an den migrate-Parameter von AWStats wird die Benutzereingabe direkt an einen Perl-open-Befehl übergeben. Startet der Übergabewert mit einer Pipe ("|"), interpretiert Perl den darauffolgenden Teil als Shell-Kommando. Für einen erfolgreichen Angriff muss jedoch die Option AllowToUpdateStatsFromBrowser in der Konfiguration aktiviert sein, was standardmäßig nicht der Fall ist.

Anmerkung:

Die Funktion AllowToUpdateStatsFrom Browser ist bei der von uns eingesetzen AWStats-Version von jeher deaktiviert, unsere Konfiguration veranlasst AWStats einmal täglich statisch die Statistiken zu erstellen. DIe o.g. Sicherheitslücke kommt somit nicht zum Tragen!