Säkerhetsbulletin från Debian

DSA-1075-1 awstats -- programmeringsfel

Rapporterat den:

2006-05-26

Berörda paket:

awstats

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 365910.
I Mitres CVE-förteckning: CVE-2006-2644.

Ytterligare information:

Hendrik Weimer upptäckte att awstats kan exekvera godtyckliga kommandon med samma användar-id som kör webbservern när användare tillåts bifoga godtyckliga konfigurationsfiler. Trots att detta fel av misstag beskrevs i DSA 1058 hade det ännu inte rättats.

Det nya standardbeteendet är att inte godta godtyckliga konfigurationskataloger från användaren. Detta kan skrivas över med miljövariabeln AWSTATS_ENABLE_CONFIG_DIR när användarna är betrodda.

Den gamla stabila utgåvan (Woody) verkar inte påverkas av detta problem.

För den stabila utgåvan (Sarge) har detta problem rättats i version 6.4-1sarge3.

För den instabila utgåvan (Sid) har detta problem rättats i version 6.5-2.

Vi rekommenderar att ni uppgraderar ert awstats-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:: http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3.dsc; http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3.diff.gz; http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge3_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.