Risque
- Exécution de code arbitraire à distance
Systèmes affectés
AWStats 6.95 et versions antérieures.
Résumé
Des vulnérabilités affectent AWStats dont certaines permettent à un utilisateur malveillant d'exécuter du code à distance.
Description
Des vulnérabilités affectent AWStats :
- l'acceptation par awstat.cgi d'un chemin vers un fichier de configuration dans l'adresse réticulaire (URL) permet à un utilisateur malveillant d'exécuter du code à distance au moyen d'un fichier de configuration malveillant dans un répertoire NFS ou WebDAV ;
- le même problème est également présent sous Windows avec les fichiers partagés ;
- l'utilisation de LoadPlugin permet à un utilisateur malveillant de parcourir une partie non autorisée de l'arborescence des fichiers.
Solution
La version 7.0 d'AWStats corrige ces problèmes.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Note de vulnérabilité de l'US-CERT VU#870532 du 30 novembre 2010 : http://www.kb.cert.org/vuls/id/870532
- Site de téléchargement du projet AWStats : http://awstats.sourceforge.net
- Référence CVE CVE-2010-4367 https://www.cve.org/CVERecord?id=CVE-2010-4367
- Référence CVE CVE-2010-4368 https://www.cve.org/CVERecord?id=CVE-2010-4368
- Référence CVE CVE-2010-4369 https://www.cve.org/CVERecord?id=CVE-2010-4369
