Die beliebte Zugriffsstatistik-Software für Webserver AWStats weist Scherheitslöcher auf, über die Angreifer beliebige Befehle auf dem darunterliegenden Server ausführen könnten. Schuld ist wie schon in der Vergangenheit die unsichere Verwendung bestimmter PERL-Funktionen, über die sich beispielsweise der Linux-Wurm Lupper verbreitet hat.
Hendrik Weimer von OS Reviews beschreibt die Lücken in einer Sicherheitsmeldung. Aufgrund einer fehlenden Überprüfung der Übergabewerte an den migrate-Parameter von AWStats wird die Benutzereingabe direkt an einen PERL-open-Befehl übergeben. Startet der Übergabewert mit einer Pipe ("|"), interpretiert PERL den darauffolgenden Teil als Shell-Kommando. Für einen erfolgreichen Angriff muss jedoch die Option AllowToUpdateStatsFromBrowser in der Konfiguration aktiviert sein, was standardmäßig nicht der Fall ist.
Wenn ein Angreifer beliebige Dateien auf einem Server anlegen kann, etwa bei einem Shared-Hosting-Anbieter oder durch Sicherheitslücken in weiterer Software auf dem Server, könnte er AWStats eine bösartige Konfigurationsdatei untermogeln. Dazu müsste er dem AWStats-Parameter configdir lediglich den Pfad zur Konfigurationsdatei übergeben. Die Option LogFile in der Konfigurationsdatei lässt sich ebenfalls durch die fehlende Überprüfung der Übergabewerte an einen open-Aufruf mittels Pipe zum Ausführen beliebigen Codes mißbrauchen.
An den AWStats-Parameter diricons übergebene Werte werden auch nicht überprüft. Angreifer könnten diese Cross-Site-Scripting-Lücke ausnutzen, um beliebige HTML-Anweisungen sowie JavaScript im Browser des Opfers auszuführen.
Betroffen sind alle derzeit verfügbaren Versionen von AWStats. Momentan ist noch unklar, wann eine fehlerbereinigte Version verfügbar sein wird. Bis dahin sollten AWStats-Nutzer nur statische Seiten generieren lassen, die betroffenen open-Aufrufe filtern oder mit mod_security-Regeln gefährliche Aufrufe ausfiltern.
Siehe dazu auch:
* Flexible but Insecure, Sicherheitsmeldung von Hendrik Weimer
* AWStats-Homepage auf Sourceforge
Quelle und Links :
http://www.heise.de/security/news/meldung/72683
