Debians sikkerhedsbulletin
DSA-1058-1 awstats -- manglende kontrol af inddata
- Rapporteret den:
- 18. maj 2006
- Berørte pakker:
- awstats
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 364443, Fejl 365909.
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 17844.
I Mitres CVE-ordbog: CVE-2006-2237. - Yderligere oplysninger:
-
Hendrik Weimer har opdaget at særligt fremstillede webforespørgsler kunne få awstats, et ydedigtigt og omfangsriget program til analysering af weblogfiler, til at udføre vilkårlige kommandoer.
Den gamle stabile distribution (woody) er ikke påvirket af dette problem.
I den stabile distribution (sarge) er dette problem rettet i version 6.4-1sarge2.
I den ustabile distribution (sid) er dette problem rettet i version 6.5-2.
Vi anbefaler at du opgraderer din awstats-pakke.
- Rettet i:
-
Debian GNU/Linux 3.1 (sarge)
- Kildekode:
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge2.dsc
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge2.diff.gz
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge2.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge2_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.