管理人のMonoblog　

[続報] AWStats Ver.6.5にXSSの脆弱性

AWStatsの公式サイトのセキュリティアナウンスに情報が登録されました。それによると、

---------------------------------------------------------------------------------
When AWStats version is 6.4 or 6.5 is used as a CGI:
If the update of the stats via web front-end is allowed, a remote attacker can
execute arbitrary code on the server using a specially crafted request involving
the migrate parameter.
Input starting with a pipe character ("|") leads to an insecure call to Perl's open
function and the rest of the input being executed in a shell. The code is run in
the context of the process running the AWStats CGI.

When AWStats version is 6.5 or lower and is used to build static pages:
If you use AWStats to build static pages, you are completely safe, whatever is
the version of AWStats you use.
---------------------------------------------------------------------------------
AWStats Ver.6.4もしくは6.5をCGIとして利用している場合:
Webからの更新処理が許可されている場合、マイグレーション用のパラメータに関連する特別に
作りこまれたリクエストを悪用することにより、リモートの攻撃者が不正なコードをサーバ上で実行
することができます。
パイプキャラクタ("|")を含む入力文字列がPerlのopen関数を安全ではない方法で呼び出し、結果
として残りの入力文字列がシェルで実行されます。コードはAWStatsのCGIを実行しているプロセス
のコンテクストで実行されます。

AWStatsのバージョンが6.5以下、もしくは静的にページを構築している場合:
AWStatsを利用して静的にページを構築している場合、AWStatsのバージョンを問わず、全く安全
です。
---------------------------------------------------------------------------------

ということですので、一般的な利用方法である限りにおいては(少なくとも当サイトで公開している
やり方を採用する限りにおいては)、問題がないということのようです。

いくつかの情報が飛び交っていますが、とりあえず現時点で公式サイトで公開されているVer.6.5
に関係するセキュリティ情報は以上です。追加があったらまた書きます。

投稿者 Ryu : 2006年05月05日 22:03

トラックバック

このエントリーのトラックバックURL:
http://www.bflets.dyndns.org/cgi-bin/MovableType/mt-tb.cgi/87

コメント