zurück zum Artikel

Zwei Module erlauben in Parametern die Angabe von Pfaden zum Inkludieren lokaler oder externer PHP-Skripte.

Mehrere Fehler in CNStats [1], einer Software zur Analyse der Webzugriffe auf eine Seite, ermöglichen einem Angreifer eigenen PHP-Code auf einem Server auszuführen. Unter Umständen ist damit auch der Zugriff auf das gesamte System möglich. So filtern die Module who_r.php und who_s.php die Parameter bj oder bn nicht richtig, sodass sich dort Pfade zum Inkludieren lokaler oder externer PHP-Skripte angeben lassen. Allerdings muss die Option register_globals entgegen den Sicherheitsempfehlungen aktiviert sein. Der Fehler wurde in Version 2.9 gefunden, die aktuelle Version 2.12 soll ebenfalls betroffen sein. Abhilfe schafft derzeit nur, register_globals zu deaktivieren.

Siehe dazu auch:

• CNStats 2.9 Remote File Include Vulnerability [2], Fehlerbericht auf Milw0rm

(dab [3])

URL dieses Artikels:
https://www.heise.de/-168008

Links in diesem Artikel:
[1] http://www.cnstats.com/en/
[2] http://milw0rm.com/exploits/3741
[3] mailto:dab@ct.de

Copyright © 2007 Heise Medien