Kritische Lücke in AWStats Totals
Durch Angabe präparierter Parameter ist es möglich, eigene PHP-Befehle an den Server zu übergeben und von diesem ausführen zu lassen. Ein Update steht bereit.
Anwender von AWStats Totals, einem PHP-Skript, das die vom Webseiten-Statistik-Tool AWStats gesammelten Daten über mehrere Webseiten darstellt, weist kritische Sicherheitslücken auf. Laut Bericht ist es Angreifern durch Angabe präparierter Parameter möglich, eigene PHP-Befehle an den Server zu übergeben und von diesem ausführen zu lassen.
Schuld ist die fehlende Prüfung der übergebenen Parameter für Monat, Jahr und Sort. Die Entdecker der Lücke haben in ihrem Bericht zwei Beispiel-Exploits aufgeführt, von denen einer mit aktivierten Magic-Quotes und einer ohne aktivierte Magic-Quotes funktioniert. Betroffen sind alle Versionen vor 1.15. Die Entwickler empfehlen dringend, auf die aktuelle Version zu wechseln, in der der Fehler korrigiert ist.
Siehe dazu auch:
- Multiple Vulnerabilities in AWStats Totals, Fehlerbericht der Emory University
(dab)
