Risque

Exécution de code arbitraire.

Systèmes affectés

Webalizer versions 2.01-06 et antérieures.

Résumé

Deux vulnérabilités du programme webalizer permettent à un utilisateur mal intentionné d'inclure des scripts dans les rapports HTML générés par webalizer.

Description

Webalizer est un programme permettant de traiter les fichiers de logs d'un serveur HTTP. La nature de certains champs des fichiers de logs n'est pas vérifiée par le programme, et sont intégralement retranscrits dans le rapport généré en HTML.

Un utilisateur mal intentionné peut y inclure des scripts, qui seront exécutés soit par un navigateur parcourant ce rapport, soit par d'autres programmes qui interprètent ces rapports.

Les deux champs vulnérables sont :

  • le nom de la machine accèdant au serveur HTTP ;
  • le champ Referer.

Contournement provisoire

Si la résolution DNS est activée dans webalizer (option -enable-dns), s'assurer que le système de résolution DNS inverse filtre les méta-caractères HTML.

Modifier la configuration de webalizer pour qu'il ne traite plus le champ Referer des fichiers de logs (ce champ est traité dans la configuration par défaut).

Solution

Télécharger le correctif :

ftp://ftp.mrunix.net/pub/webalizer/sec-fix.patch

ou mettre à jour webalizer à la version 2.01-09.