Abo
  • IT-Karriere:

Kritische Sicherheitslücke in AWStats

Angreifer können eigenen Perl-Code einschleusen

IDefense warnt vor einer kritischen Sicherheitslücke in der Logfile-Analyse-Software AWStats, durch die Angreifer fremden Code auf entsprechenden Systemen ausführen können. AWStats erfreut sich recht großer Beliebtheit und kommt auf diversen Servern zum Einsatz, die dadurch nun gefährdet sind.

Artikel veröffentlicht am ,

Bei der Auswertung der Statistiken macht AWStats Gebrauch von der Funktion eval(), prüft aber die Referrer-Daten nicht ausreichend, worüber Angreifer eigenen Perl-Code einschleusen und auf dem verwundbaren System mit den Rechten des Web-Servers ausführen können, sobald ein Nutzer auf Referrer-Statistik zugreift. Zudem muss mindestens ein URL-Plug-in installiert sein.

Stellenmarkt
  1. Schaeffler Technologies AG & Co. KG, Herzogenaurach
  2. M-net Telekommunikations GmbH, München

Da ein entsprechender Angriff keine besonderen Privilegien voraussetzt, stuft iDefense das Problem als kritisch ein und rät dringend zu einem Update auf die aktuelle Version. Betroffen ist AWStat bis einschließlich der Version 6.4, in AWStat 6.5 wurde der betroffene Code ausgetauscht. Als Workaround empfiehlt iDefense, alle URL-Plug-ins zu deaktivieren.

AWStats 6.5 steht unter awstats.sourceforge.net zum Download bereit.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Gerrit 14. Aug 2005

Wer AWStats auf Servern einsetzt die aus dem Netz erreichbar sind ist selber Schuld...


Folgen Sie uns
       


Wolfenstein Youngblood angespielt

Zwillinge im Kampf gegen das Böse: Im Actionspiel Wolfenstein Youngblood müssen sich Jess und Soph Blazkowicz mit dem Regime anlegen.

Wolfenstein Youngblood angespielt Video aufrufen
IT-Arbeit: Was fürs Auge
IT-Arbeit
Was fürs Auge

Notebook, Display und Smartphone sind für alle, die in der IT arbeiten, wichtige Werkzeuge. Damit man etwas mit ihnen anfangen kann, ist ein anderes Werkzeug mindestens genauso wichtig: die Augen. Wir geben Tipps, wie man auch als Freiberufler augenschonend arbeiten kann.
Von Björn König

  1. IT-Fachkräftemangel Arbeit ohne Ende
  2. IT-Forensikerin Beweise sichern im Faradayschen Käfig
  3. Homeoffice Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Zephyrus G GA502 im Test: Das Gaming-Notebook, das auch zum Arbeiten taugt
Zephyrus G GA502 im Test
Das Gaming-Notebook, das auch zum Arbeiten taugt

Mit AMDs Ryzen 7 und Nvidia-GPU ist das Zephyrus G GA502 ein klares Gaming-Gerät. Überraschenderweise eignet es sich aber auch als mobiles Office-Notebook. Das liegt an der beeindruckenden Akkulaufzeit.
Ein Test von Oliver Nickel

  1. Vivobook (X403) Asus packt 72-Wh-Akku in günstigen 14-Zöller
  2. ROG Swift PG35VQ Asus' 35-Zoll-Display nutzt 200 Hz, HDR und G-Sync
  3. ROG Gaming Phone II Asus plant neue Version seines Gaming-Smartphones

Harmony OS: Die große Luftnummer von Huawei
Harmony OS
Die große Luftnummer von Huawei

Mit viel Medienaufmerksamkeit und großen Versprechungen hat Huawei sein eigenes Betriebssystem Harmony OS vorgestellt. Bei einer näheren Betrachtung bleibt von dem großen Wurf allerdings kaum etwas übrig.
Ein IMHO von Sebastian Grüner


      •  /