Risque
- Exécution de code arbitraire
Systèmes affectés
AWStats versions 6.3 et antérieures.
Description
AWStats est un outil d'analyse de fichiers de journalisation et de
génération de statistiques pour les serveurs web, FTP ou mail.
Une vérification insuffisante de la validité du champ referrer présent
dans des requêtes http permet à un utilisateur distant mal intentionné,
par le biais d'une requête http malicieusement construite enregistrée
dans les fichiers de journalisation du serveur web, d'exécuter du code
arbitraire sur le système effectuant l'analyse de ces même fichiers.
Solution
La version 6.4 de AWStats corrige le problème et est disponible à l'adresse :
http://awstats.sourceforge.net/#DOWNLOAD
Documentation
- Bulletin de sécurité iDEFENSE 08.09.05 http://www.idefense.com/application/poi/display?id=290&type=vulnerabilities
- Bulletin de sécurité Debian dsa-892 du 10 novembre 2005 : http://www.debian.org/security/2005/dsa-892
- Bulletin de sécurité FreeBSD : http://www.vuxml.org/freebsd/pkg-awstats.html
- Bulletin de sécurité Gentoo GLSA-200508-07 du 16 août 2005 : http://security.gentoo.org/glsa/glsa-200508-07.xml
- Bulletin de sécurité SuSE du 19 août 2005 : http://www.novell.com/linux/security/advisories/2005_19_sr.html
- Site de AWStats : http://awstats.sourceforge.net/
