Changer l'apparence
Alertes: AWStats 6.x
Groupe(s) OS affecté(s) : Microsoft Windows / UNIX
Impact(s) : Deni de service (DoS) / Escalade de privilèges / Révélation d'informations sensibles
Solution : Patch du fournisseur
Exploit : Disponible
ZATAZ ID : ASZ-2005-351
Localisation(s) : Distante / Locale
Date de découverte : 15.02.2005
Un utilisateur local pourrait gagner de nouveaux privilèges, et un internaute malveillant pour récupérer des informations sensibles ou causer un Déni de Service par le biais de ces vulnérabilités.
GHC a rapporté plusieurs vulnérabilités dans Awstats 6.x.
Une erreur dans "awstats.pl" peut dévoiler le contenu des fichiers de logs lorsque le plugin "rawlog" est désactivé.
Les champs envoyés aux paramètres "loadplugin" et "pluginmode" ne sont pas traités correctement avant d'êtres utilisés dans une expression eval(). Cette erreur pourrait causer un Déni de Service (DoS).
Les champs envoyés au paramètre "loadplugin" dans le script "awstats.pl" ne sont pas traités correctement avant d'être utilisé pour inclure des plugins. Cette erreur peut permettre d'inclure des modules locaux par le biais d'attaques de traverse de répertoires.
Une erreur dans le script "awstats.pl" peut dévoiler des informations sensibles de debug lorsque le paramètre "debug" est spécifié.
Les vulnérabilités ont été rapportées pour les versions 6.3 et précédentes.
Un patch est disponible dans le CVS du fournisseur.
Des distributions tels Debian et Gentoo ont fournis des correctifs pour ces vulnérabilités.
Veuillez noter que les informations diffusées par ZATAZ.net dans le cadre de sa rubrique Alertes ont comme
provenance des parties tierces.
ZATAZ.net collecte, valide et vérifie les vulnérabilités diffusées par les fournisseurs, groupes de recherches
spécialisés dans la sécurité informatique, etc.
Si vous désirez nous envoyer des alertes de sécurité que vous avez découvertes, contactez-nous sur alertes@zataz.net