Die russische Gruppe GHC berichtet von erneuten Schwachstellen in dem grafischen Statistiktool AWStats. Laut ihrem Posting auf Bugtraq kann ein Angreifer in Version 6.3 bestimmte Perl-Anweisungen mit den Rechten des Webservers ausführen. Des weiteren kann er die Logfiles des Webservers einsehen. In dem Advisory demonstriert GHC die Lücken mit der Entwicklerversion 6.4. Ob die am 14.2. veröffentlichte Version für diese Schwachstellen noch anfällig ist, ist jedoch noch unklar.
Erst letzten Monat warnte iDefense vor einem Sicherheitsloch in AWStats, das die Entwickler in Version 6.3 beseitigten. Der damals vorgeschlagene Workaround für ältere Versionen ist jedoch ebenfalls fehlerhaft, wie das RedTeam der RWTH Aachen berichtet.
Siehe dazu auch:
GHC-Advisory auf Bugtraq :
http://www.securityfocus.com/archive/1/390368Quelle :
www.heise.de
