Naciśnij ESC aby zamknąć

Krytyczny błąd znaleziony w statystykach AWStats

Nowo wykryta luka w popularnej aplikacji AWStats pozwala atakującemu na zdalne wykonywanie kodu na serwerze Linux. Advanced Web Statistics analizuje, loguje jak również generuje ruch przechodzący przez stronę internetową.

Odkrywcą błędu jest specjalista ds. bezpieczestwa IT – Hendrik Weimer informujący że wykrytym atakiem jest cross-site scripting (XSS), dzięki któremu można wykorzystać znak parametru ?migrującego? aplikacji AWStats. Kod exploita działa tylko wtedy, gdy użytkownik aplikacji zaznaczył automatyczne aktualizacje statystyk skryptu. Poziom ryzyka znalezionego błędu określa się na wysoki. ?AWStats ma problem z prawidłową interpretacją wpisanych wartości do awstats.pl” powiedział Weimer.

Nie ma jeszcze aktualizacji udostępnionej przez twórców AWStats dającej możliwość zabezpieczenia się przed tym błędem. Debian, organizacja open source oferująca system GNU/Linux ogłosiła że świadoma jest powagi błędu, wydając już aktualizację poprawiającą lukę w swoich pakietach wersji 6.4 (stabilna) oraz 6.5 (testowa). Red Hat również ogłosił poprawki swoich pakietów, dostępne są one w obecnej (current) wersji Linux Ubuntu.

Nie jest to pierwsza luka znaleziona w AWStats. W lutym 2005 roku, organizacja iDefense odkryła podobną lukę konfiguracji programu a grupa kilku studentów nazywających się RedTeam odkryła podłoże błędu. W listopadzie 2005 pojawił oraz rozprzestrzenił się robak “Lupper”, wykorzystujący błąd znaleziony w AWStats. Użytkownicy Linux mogą uniknąć niektórych z wykrytych błędów na czas wydania aktualizacji, wyłączając opcję automatycznych aktualizacji w skrypcie. Czynność ta będzie jednak zaprzeczeniem przewidzianej funkcjonalności, gdyż cała praca powinna opierać się przecież o automatyczną pracę skryptu.

Źródło: Dark Reading

Redakcja

Nasz zespół składa się z doświadczonych ekspertów w dziedzinie bezpieczeństwa informatycznego i najnowszych trendów technologicznych. Nasi autorzy posiadają wieloletnie doświadczenie zarówno w sektorze komercyjnym, jak i akademickim, co pozwala im na głębokie zrozumienie i analizę dynamicznie zmieniającego się świata technologii. Jako grupa specjalistów dostarczamy rzetelne i aktualne informacje, analizy oraz poradniki z zakresu bezpieczeństwa IT i innowacji technologicznych. Nasze artykuły opierają się na dogłębnym badaniu tematu, wsparte doświadczeniem naszych ekspertów. Stawiamy na edukację czytelników, pomagając im zrozumieć skomplikowane zagadnienia technologiczne i zachować bezpieczeństwo w cyfrowym świecie. Naszym celem jest dostarczanie precyzyjnych i aktualnych informacji, które wspierają zarówno profesjonalistów IT, jak i zwykłych użytkowników w zrozumieniu i adaptacji do szybko zmieniającego się świata technologii. Zależy nam na promowaniu kultury bezpieczeństwa i świadomości cyfrowej w społeczeństwie.