Säkerhetsbulletin från Debian
DSA-1058-1 awstats -- städar inte indata
- Rapporterat den:
- 2006-05-18
- Berörda paket:
- awstats
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 364443, Fel 365909.
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 17844.
I Mitres CVE-förteckning: CVE-2006-2237. - Ytterligare information:
-
Hendrik Weimer upptäckte att specialskrivna webbförfrågningar kunde få awstats, en kraftfull webbserverlogganalyserare med många funktioner, att exekvera godtyckliga kommandon.
Den gamla stabila utgåvan (Woody) påverkas inte av detta problem.
För den stabila utgåvan (Sarge) har detta problem rättats i version 6.4-1sarge2.
För den instabila utgåvan (Sid) har detta problem rättats i version 6.5-2.
Vi rekommenderar att ni uppgraderar ert awstats-paket.
- Rättat i:
-
Debian GNU/Linux 3.1 (sarge)
- Källkod:
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge2.dsc
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge2.diff.gz
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge2.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge2_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.