Рекомендация Debian по безопасности
DSA-1075-1 awstats -- ошибка программирования
- Дата сообщения:
- 26.05.2006
- Затронутые пакеты:
- awstats
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 365910.
В каталоге Mitre CVE: CVE-2006-2644. - Более подробная информация:
-
Хендрик Ваймер обнаружил, что awstats может выполнять произвольные команды от лица пользователя, запустившего веб-сервер, в случае, когда пользователям разрешено передавать произвольные файлы настройки. Хотя эта ошибка и была случайно указана в DSA 1058, она не была исправлена.
По умолчанию теперь произвольные каталоги с настройками от пользователей не принимаются. Это можно изменить с помощью переменной окружения AWSTATS_ENABLE_CONFIG_DIR в том случае, если вы доверяете своим пользователям.
Предыдущий стабильный выпуск (woody), как кажется, не подвержен данной проблеме.
В стабильном выпуске (sarge) эта проблема была исправлена в версии 6.4-1sarge3.
В нестабильном выпуске (sid) эта проблема была исправлена в версии 6.5-2.
Рекомендуется обновить пакет awstats.
- Исправлено в:
-
Debian GNU/Linux 3.1 (sarge)
- Исходный код:
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3.dsc
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3.diff.gz
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.