Statistik-Tool AWStats erlaubt Ausführen von Kommandos auf Servern
Ein Fehler in AWStats, einem Tool zur grafischen Aufbereitung von FTP-, Web- und Mail-Server-Statistiken, erlaubt Angreifern das Ausführen eigener Befehle auf dem Server.
Ein Fehler in AWStats, einem Tool zur grafischen Aufbereitung von FTP-, Web- und Mail-Server-Statistiken, erlaubt Angreifern das Ausführen eigener Befehle auf dem Server. Allerdings muss das Tool dazu als CGI-Skript auf einem Web-Server laufen. Ursache ist die ungenügende Filterung des benutzerdefinierten Parameters configdir im Perl-Skript, sodass es darin enthaltene Befehle ausführt -- sofern ein "|" vorangestellt ist. Der Fehler wurde in Version 6.1 entdeckt, andere Versionen sind wahrscheinlich ebenfalls betroffen. Version 6.3 beseitigt dieses Problem und eine weitere, bislang nicht veröffentlichte Schwachstelle. Alternativ führt iDEFENSE in seinem Advisory einen Workaround/Patch auf.
Siehe dazu auch: (dab)
- AWStats Remote Command Execution Vulnerability von iDEEFENSE
