Systemzugriff denkbar

Update beseitigt hoch kritische Schwachstellen in AWStats Totals 1.x

Die Entwickler der Webserver-Logging-Software AWStats Totals haben ein wichtiges Sicherheits-Update zur Verfügung gestellt.

Die Lücken lassen sich von außerhalb für Cross Site Scripting und im schlimmsten Fall für unerlaubte Systemzugriffe ausnutzen. Eingaben die mit den Parametern „month“ und „year“ übertragen werden, überprüft die die Software nicht ausreichend, bevor die Software diese an den Anwender zurückgibt. Somit lässt sich unter Umständen beliebiger HTML- oder Script-Code in der Browser-Sitzung eines Anwenders ausführen.

Der zweite Fehler liegt in der Funktion multisort(). Eingaben in den „sort“-Parameter überprüft die Software nicht ausreichend, bevor der entsprechende PHP-Code generiert wird. Somit lässt sich unter Umständen beliebiger PHP-Code ausführen. Für einen erfolgreichen Angriff ist ein speziell präparierter „sort“-Parameter erforderlich. Die Sicherheitslücken sind bestätigt für AWStats-Totals-Versionen vor 1.15. Die Entwickler raten zu einem Update auf die letzte Variante. (jdo)