Bulletin d'alerte Debian

DSA-1075-1 awstats -- Erreur de programmation

Date du rapport :
26 mai 2006
Paquets concernés :
awstats
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 365910.
Dans le dictionnaire CVE du Mitre : CVE-2006-2644.
Plus de précisions :

Hendrik Weimer a découvert qu'awstats pouvait exécuter des commandes arbitraires sous l'identité du serveur web si les utilisateurs sont autorisés fournir leurs propres fichiers de configuration. Bien que ce bogue ait été référencé accidentellement dans la mise à jour de sécurité DSA 1058, il n'était pas encore corrigé.

Le nouveau comportement par défaut refuse les configurations d'utilisateurs. Cela peut être néanmoins activé avec la variable d'environnement AWSTATS_ENABLE_CONFIG_DIR lorsque la confiance est accordée aux utilisateurs.

L'ancienne distribution stable (Woody) ne semble pas touchée par ce problème.

Pour l'actuelle distribution stable (Sarge), ce problème a été corrigé dans la version 6.4-1sarge3.

Pour la distribution instable (Sid), ce problème a été corrigé dans la version 6.5-2.

Nous vous recommandons de mettre à jour votre paquet awstats.

Corrigé dans :

Debian GNU/Linux 3.1 (sarge)

Source :
http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3.dsc
http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3.diff.gz
http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.