Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Toutes les versions de AWStats antérieures à la version 6.3.
Description
AWStats est un outil d'analyse de fichiers journaux et de génération de
statistiques pour les serveurs web, FTP ou mail.
Une vulnérabilité dans la validation des paramètres passés au script
awstats.pl permet à un utilisateur mal intentionné d'exécuter du code
arbitraire à distance avec les droits du serveur web.
Solution
Mettre à jour AWStats en version de développement 6.3 ou désactiver l'utilisation de AWStats en attendant la prochaine version stable 6.3 (cf. section Documentation).
Documentation
- Bulletin de sécurité iDEFENSE du 17 janvier 2005 http://www.idefense.com/application/poi/display?id=185&type=vulnerabilities
- Bulletin de sécurité Debian DSA-682 du 15 février 2005 : http://www.debian.org/security/2005/dsa-682
- Bulletin de sécurité FreeBSD pour awstats du 16 février 2005 : http://www.vuxml.org/freebsd/
- Bulletin de sécurité Gentoo GLSA 200501-36 du 25 janvier 2005 : http://www.gentoo.org/security/en/glsa/glsa-200501-36.xml
- Fichier de la liste des changements de AWStats : http://awstats.sourceforge.net/docs/awstats_changelog.txt
- Mise à jour de sécurité du paquetage NetBSD awstats : ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/www/awstats/README.html
- Site Internet de AWStats : http://awstats.sourceforge.net
- Référence CVE CVE-2005-0116 https://www.cve.org/CVERecord?id=CVE-2005-0116
- Référence CVE CVE-2005-0363 https://www.cve.org/CVERecord?id=CVE-2005-0363
