Un grave bug è stato trovato in awstats nelle versioni uguali o inferiori a 6.2-1.1

Awstats è un popolarissimo tools in Perl per la generazione di statistiche di visita a siti.

A differenza di altri non lavora recependo direttamente i dati delle visite, ma leggendo i file di log del webserver.

E' in grado di generare suoi file di database in cui conserva i dati che poi elabora per la visualizzazione.

 

Si tratta di tre casi di mancato controllo dell'input inserito dall'utente, che consente un attacco basato sull'esecuzione di codice arbitrario con i permessi del webserver.

 

Una spiegazione approfondita dei tre bug e i possibili attacchi si trovato su Shishii.com:

www.shishii.com/dummy/index.php

 

L'annuncio del bug si trova qui:

www.debian.org/security/2005/dsa-682

 

Si consiglia di effettuare l'upgrade di awstats: