Aviso de seguridad de Debian
DSA-1075-1 awstats -- error de programación
- Fecha del informe:
- 26 de may de 2006
- Paquetes afectados:
- awstats
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el sistema de seguimiento de errores de Debian: error 365910.
En el diccionario CVE de Mitre: CVE-2006-2644. - Información adicional:
-
Hendrik Weimer descubrió que awstats podía ejecutar órdenes arbitrarias con el id. del usuario con el que estuviese funcionando el servidor web, cuando a los usuarios se les permitía suministrar archivos de configuración arbitrarios. A pesar de esto, el error al que hacía se referencia accidentalmente en DSA 1058, no se había corregido aún.
El comportamiento predefinido nuevo ES no aceptar de los usuarios directorios de configuración arbitrarios. Se puede sobreescribir en la variable de entorno AWSTATS_ENABLE_CONFIG_DIR si confía en los usuarios.
La distribución estable anterior (woody) no parece verse afectada por este problema.
Para la distribución estable (sarge), este problema se ha corregido en la versión 6.4-1sarge3.
Para la distribución inestable (sid), este problema se ha corregido en la versión 6.5-2.
Le recomendamos que actualice el paquete awstats.
- Arreglado en:
-
Debian GNU/Linux 3.1 (sarge)
- Fuentes:
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3.dsc
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3.diff.gz
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3_all.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.