Mehrere Schwachstellen in AWStats
Die russische Gruppe GHC berichtet von erneuten Schwachstellen in dem grafischen Statistiktool AWStats.
Die russische Gruppe GHC [1] berichtet von erneuten Schwachstellen in dem grafischen Statistiktool AWStats [2]. Laut ihrem Posting auf Bugtraq kann ein Angreifer in Version 6.3 bestimmte Perl-Anweisungen mit den Rechten des Webservers ausführen. Des weiteren kann er die Logfiles des Webservers einsehen. In dem Advisory demonstriert GHC die Lücken mit der Entwicklerversion 6.4. Ob die am 14.2. veröffentlichte Version für diese Schwachstellen noch anfällig ist, ist jedoch noch unklar.
Erst letzten Monat [3] warnte iDefense vor einem Sicherheitsloch in AWStats, das die Entwickler in Version 6.3 beseitigten. Der damals vorgeschlagene Workaround für ältere Versionen ist jedoch ebenfalls fehlerhaft [4], wie das RedTeam der RWTH Aachen berichtet.
Siehe dazu auch: (eck)
- GHC-Advisory [5] auf Bugtraq
URL dieses Artikels:
https://www.heise.de/-135107
Links in diesem Artikel:
[1] http://www.ghc.ru/
[2] http://awstats.sourceforge.net/
[3] https://www.heise.de/news/Statistik-Tool-AWStats-erlaubt-Ausfuehren-von-Kommandos-auf-Servern-127831.html
[4] http://archives.neohapsis.com/archives/fulldisclosure/2005-02/0258.html
[5] http://www.securityfocus.com/archive/1/390368
Copyright © 2005 Heise Medien