Security Lab

Обнаружены множественные уязвимости в AWStats

Дата публикации:14.02.2005
Всего просмотров:5026
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: AWStats 6.3 final и более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю выполнить некоторые перл директивы, вызвать отказ в обслуживании и получить доступ к важной информации пользователей.

1. Уязвимость обнаружена в плагине rawlog при обработке переменных loadplugin и pluginmode. Удаленный пользователь может выполнить произвольный perl сценарий с привилегиями web-сервера или вызвать отказ в обслуживании. Пример:

http://www.lan.server/cgi-bin/awstats-6.4/awstats.pl?&PluginMode=:print+getpwent

2. Удаленный пользователь может выполнить произвольный плагин. Уязвимость существует из-за недостаточной проверки данных перед вызовом функции require(). Пример:

http://server/cgi-bin/awstats-6.4/awstats.pl?&loadplugin=../../../../usr/libdata/perl/5.00503/blib

3. Удаленный пользователь может получить доступ к важной информации, вызвав один из отладочных сценариев. Пример:

http://www.lan.server/cgi-bin/awstats-6.4/awstats.pl?debug=1
http://www.lan.server/cgi-bin/awstats-6.4/awstats.pl?debug=2

Пример/Эксплоит: См. Источник сообщения.

URL производителя: http://awstats.sourceforge.net

Решение: Установите обновление с сайта производителя.

Уязвимость обнаружил mestereeo

Ссылки: Multiple vulnerabilities in AWStats