Risque

  • Exécution de code arbitraire

Systèmes affectés

AWStats versions 6.3 et antérieures.

Description

AWStats est un outil d'analyse de fichiers de journalisation et de génération de statistiques pour les serveurs web, FTP ou mail.
Une vérification insuffisante de la validité du champ referrer présent dans des requêtes http permet à un utilisateur distant mal intentionné, par le biais d'une requête http malicieusement construite enregistrée dans les fichiers de journalisation du serveur web, d'exécuter du code arbitraire sur le système effectuant l'analyse de ces même fichiers.

Solution

La version 6.4 de AWStats corrige le problème et est disponible à l'adresse :

http://awstats.sourceforge.net/#DOWNLOAD

Documentation