Oxygen - Boletín informativo de Panda Software

regreso al inicio
Recomienda esta
página a un amigo

Send this
page to a friend

Su buscador preferido:
Encuentre en este Portal:
<< Home > Oxygen - Boletín informativo de Panda Software
 

"No es la montaña lo que se conquista, sino a nosotros mismos."
Edmund P. Hillary (1919), montañero neozelandés
(El 29 de mayo de 1953, Edmund Hillary alcanzó la cima del Everest)

- Ejecución arbitraria de comandos en AWStats -
Oxygen3 24h-365d, por Panda Software ( http://www.pandasoftware.es )

Madrid, 29 de mayo de 2006 - Una vez más se comprueba cómo cualquier punto de un sistema puede representar una debilidad si no se gestiona adecuadamente. En esta ocasión el riesgo proviene de algo tan aparentemente inofensivo, y por otra parte imprescindible, como un analizador de logs y generador de estadísticas web.

El producto afectado es AWStats versión 6.5 (y anteriores), un popular analizador de logs destinado a la generación de estadísticas y gráficas de acceso a los servidores (web, ftp o mail). La vulnerabilidad anunciada podría ser empleada por atacantes para evitar restricciones de seguridad y lograr la ejecución de comandos.

El problema reside en errores de validación de entradas en el script "awstats.pl", debido a que no verifica los parámetros "configdir" y "config" antes de cargarlos para usarse en un archivo de configuración. Esto podría emplearse por atacantes para subir un archivo arbitrario para inyectar y ejecutar comandos shell arbitrarios a través de la directiva de configuración "LogFile".

Más información, disponible en  http://www.frsirt.com/english/advisories/2006/1998


Artículos Anteriores

Valid HTML 4.01!  Valid CSS2!