Säkerhetsbulletin från Debian
DSA-1075-1 awstats -- programmeringsfel
- Rapporterat den:
- 2006-05-26
- Berörda paket:
- awstats
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 365910.
I Mitres CVE-förteckning: CVE-2006-2644. - Ytterligare information:
-
Hendrik Weimer upptäckte att awstats kan exekvera godtyckliga kommandon med samma användar-id som kör webbservern när användare tillåts bifoga godtyckliga konfigurationsfiler. Trots att detta fel av misstag beskrevs i DSA 1058 hade det ännu inte rättats.
Det nya standardbeteendet är att inte godta godtyckliga konfigurationskataloger från användaren. Detta kan skrivas över med miljövariabeln AWSTATS_ENABLE_CONFIG_DIR när användarna är betrodda.
Den gamla stabila utgåvan (Woody) verkar inte påverkas av detta problem.
För den stabila utgåvan (Sarge) har detta problem rättats i version 6.4-1sarge3.
För den instabila utgåvan (Sid) har detta problem rättats i version 6.5-2.
Vi rekommenderar att ni uppgraderar ert awstats-paket.
- Rättat i:
-
Debian GNU/Linux 3.1 (sarge)
- Källkod:
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3.dsc
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3.diff.gz
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.