Säkerhetsbulletin från Debian

DSA-1058-1 awstats -- städar inte indata

Rapporterat den:
2006-05-18
Berörda paket:
awstats
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 364443, Fel 365909.
I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 17844.
I Mitres CVE-förteckning: CVE-2006-2237.
Ytterligare information:

Hendrik Weimer upptäckte att specialskrivna webbförfrågningar kunde få awstats, en kraftfull webbserverlogganalyserare med många funktioner, att exekvera godtyckliga kommandon.

Den gamla stabila utgåvan (Woody) påverkas inte av detta problem.

För den stabila utgåvan (Sarge) har detta problem rättats i version 6.4-1sarge2.

För den instabila utgåvan (Sid) har detta problem rättats i version 6.5-2.

Vi rekommenderar att ni uppgraderar ert awstats-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:
http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge2.dsc
http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge2.diff.gz
http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge2_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.