Risque
- Exécution de code arbitraire
Systèmes affectés
Webalizer versions 2.01-06 et antérieures.
Résumé
Deux vulnérabilités du programme webalizer permettent à un utilisateur mal intentionné d'inclure des scripts dans les rapports HTML générés par webalizer.
Description
Webalizer est un programme permettant de traiter les fichiers de logs d'un serveur HTTP. La nature de certains champs des fichiers de logs n'est pas vérifiée par le programme, et sont intégralement retranscrits dans le rapport généré en HTML.
Un utilisateur mal intentionné peut y inclure des scripts, qui seront exécutés soit par un navigateur parcourant ce rapport, soit par d'autres programmes qui interprètent ces rapports.
Les deux champs vulnérables sont :
- le nom de la machine accèdant au serveur HTTP ;
- le champ Referer.
Contournement provisoire
Si la résolution DNS est activée dans webalizer (option -enable-dns), s'assurer que le système de résolution DNS inverse filtre les méta-caractères HTML.
Modifier la configuration de webalizer pour qu'il ne traite plus le champ Referer des fichiers de logs (ce champ est traité dans la configuration par défaut).
Solution
Télécharger le correctif :
ftp://ftp.mrunix.net/pub/webalizer/sec-fix.patch
ou mettre à jour webalizer à la version 2.01-09.