Debians sikkerhedsbulletin

DSA-1058-1 awstats -- manglende kontrol af inddata

Rapporteret den:
18. maj 2006
Berørte pakker:
awstats
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 364443, Fejl 365909.
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 17844.
I Mitres CVE-ordbog: CVE-2006-2237.
Yderligere oplysninger:

Hendrik Weimer har opdaget at særligt fremstillede webforespørgsler kunne få awstats, et ydedigtigt og omfangsriget program til analysering af weblogfiler, til at udføre vilkårlige kommandoer.

Den gamle stabile distribution (woody) er ikke påvirket af dette problem.

I den stabile distribution (sarge) er dette problem rettet i version 6.4-1sarge2.

I den ustabile distribution (sid) er dette problem rettet i version 6.5-2.

Vi anbefaler at du opgraderer din awstats-pakke.

Rettet i:

Debian GNU/Linux 3.1 (sarge)

Kildekode:
http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge2.dsc
http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge2.diff.gz
http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge2_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.