• IT-Karriere:
  • Services:

Kritische Sicherheitslücke in AWStats

Angreifer können eigenen Perl-Code einschleusen

IDefense warnt vor einer kritischen Sicherheitslücke in der Logfile-Analyse-Software AWStats, durch die Angreifer fremden Code auf entsprechenden Systemen ausführen können. AWStats erfreut sich recht großer Beliebtheit und kommt auf diversen Servern zum Einsatz, die dadurch nun gefährdet sind.

Artikel veröffentlicht am ,

Bei der Auswertung der Statistiken macht AWStats Gebrauch von der Funktion eval(), prüft aber die Referrer-Daten nicht ausreichend, worüber Angreifer eigenen Perl-Code einschleusen und auf dem verwundbaren System mit den Rechten des Web-Servers ausführen können, sobald ein Nutzer auf Referrer-Statistik zugreift. Zudem muss mindestens ein URL-Plug-in installiert sein.

Stellenmarkt
  1. Bechtle AG, München
  2. Würth Industrie Service GmbH & Co. KG, Bad Mergentheim, Großraum Würzburg

Da ein entsprechender Angriff keine besonderen Privilegien voraussetzt, stuft iDefense das Problem als kritisch ein und rät dringend zu einem Update auf die aktuelle Version. Betroffen ist AWStat bis einschließlich der Version 6.4, in AWStat 6.5 wurde der betroffene Code ausgetauscht. Als Workaround empfiehlt iDefense, alle URL-Plug-ins zu deaktivieren.

AWStats 6.5 steht unter awstats.sourceforge.net zum Download bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 169€ (Bestpreis mit Amazon. Vergleichspreis 194,99€)
  2. 169€ (Bestpreis mit Media Markt. Vergleichspreis 194,99€)
  3. (aktuell u. a. Acer XB241YU 165 Hz/WQHD für 349€ + Versand statt 438,44€ im Vergleich)
  4. (u. a. Hitman 2 für 7,99€ und Ghost Recon Wildlands für 12,99€)

Gerrit 14. Aug 2005

Wer AWStats auf Servern einsetzt die aus dem Netz erreichbar sind ist selber Schuld...


Folgen Sie uns
       


Helmholtz-Forscher arbeiten am Künstlichen Blatt - Bericht

Sonnenlicht spaltet Wasser: Ein Team von Helmholtz-Forschern bildet die Photosynthese technisch nach, um Wassesrtoff zu gewinnen.

Helmholtz-Forscher arbeiten am Künstlichen Blatt - Bericht Video aufrufen
Galaxy Z Flip im Hands-on: Endlich klappt es bei Samsung
Galaxy Z Flip im Hands-on
Endlich klappt es bei Samsung

Beim zweiten Versuch hat Samsung aus seinen Fehlern gelernt: Das Smartphone Galaxy Z Flip mit faltbarem Display ist alltagstauglicher und stabiler als der Vorgänger. Motorolas Razr kann da nicht mithalten.
Ein Hands on von Tobias Költzsch

  1. Faltbares Smartphone Schutzfasern des Galaxy Z Flip möglicherweise wenig wirksam
  2. Isocell Bright HM1 Samsung verwendet neuen 108-MP-Sensor im Galaxy S20 Ultra
  3. Smartphones Samsung schummelt bei Teleobjektiven des Galaxy S20 und S20+

Mythic Quest: Spielentwickler im Schniedelstress
Mythic Quest
Spielentwickler im Schniedelstress

Zweideutige Zweckentfremdung von Ingame-Extras, dazu Ärger mit Hackern und Onlinenazis: Die Apple-TV-Serie Mythic Quest bietet einen interessanten, allerdings nur stellenweise humorvollen Einblick in die Spielebrache.
Eine Rezension von Peter Steinlechner

  1. Apple TV TVOS 13 mit Mehrbenutzer-Option erschienen

Login-Dienste: Wer von der Klarnamenpflicht profitieren könnte
Login-Dienste
Wer von der Klarnamenpflicht profitieren könnte

Immer wieder bringen Politiker einen Klarnamenzwang oder eine Identifizierungspflicht für Nutzer im Internet ins Spiel. Doch welche Anbieter könnten von dieser Pflicht am ehesten einen Vorteil erzielen?
Eine Analyse von Friedhelm Greis

  1. Europäische Netzpolitik Die Rückkehr des Axel Voss
  2. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  3. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

    •  /