Debian-Sicherheitsankündigung
DSA-1075-1 awstats -- Programmierfehler
- Datum des Berichts:
- 26. Mai 2006
- Betroffene Pakete:
- awstats
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In der Debian-Fehlerdatenbank: Fehler 365910.
In Mitres CVE-Verzeichnis: CVE-2006-2644. - Weitere Informationen:
-
Hendrik Weimer entdeckte, dass awstats beliebige Befehle unter Verwendung der Benutzer-ID, unter welcher der Webserver läuft, ausführen kann, wenn es Benutzern erlaubt wurde, beliebige Konfigurationsdateien bereitzustellen. Auch wenn dieser Fehler bereits versehentlich in DSA 1058 referenziert wurde, war er doch noch nicht behoben.
Das neue Standardverhalten ist es nun, nicht mehr beliebige Konfigurationsverzeichnisse von den Benutzern zu akzeptieren. Dies kann über die Umgebungsvariable AWSTATS_ENABLE_CONFIG_DIR wieder eingestellt werden, wenn den Benutzern vertraut wird.
Die alte Stable-Distribution (Woody) scheint von diesem Problem nicht betroffen zu sein.
Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 6.4-1sarge3 behoben.
Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 6.5-2 behoben.
Wir empfehlen Ihnen, Ihr awstats-Paket zu aktualisieren.
- Behoben in:
-
Debian GNU/Linux 3.1 (sarge)
- Quellcode:
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3.dsc
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3.diff.gz
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3_all.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.