Angreifer können eigenen Perl-Code einschleusen
IDefense warnt vor einer kritischen Sicherheitslücke in der Logfile-Analyse-Software AWStats, durch die Angreifer fremden Code auf entsprechenden Systemen ausführen können. AWStats erfreut sich recht großer Beliebtheit und kommt auf diversen Servern zum Einsatz, die dadurch nun gefährdet sind.
Bei der Auswertung der Statistiken macht AWStats Gebrauch von der Funktion eval(), prüft aber die Referrer-Daten nicht ausreichend, worüber Angreifer eigenen Perl-Code einschleusen und auf dem verwundbaren System mit den Rechten des Web-Servers ausführen können, sobald ein Nutzer auf Referrer-Statistik zugreift. Zudem muss mindestens ein URL-Plug-in installiert sein.
Da ein entsprechender Angriff keine besonderen Privilegien voraussetzt, stuft iDefense das Problem als kritisch ein und rät dringend zu einem Update auf die aktuelle Version. Betroffen ist AWStat bis einschließlich der Version 6.4, in AWStat 6.5 wurde der betroffene Code ausgetauscht. Als Workaround empfiehlt iDefense, alle URL-Plug-ins zu deaktivieren.
AWStats 6.5 steht unter awstats.sourceforge.net zum Download bereit.
Quelle und Links :
http://www.golem.de/0508/39834.html