Nowo wykryta luka w popularnej aplikacji AWStats pozwala atakującemu na zdalne wykonywanie kodu na serwerze Linux. Advanced Web Statistics analizuje, loguje jak również generuje ruch przechodzący przez stronę internetową.
Odkrywcą błędu jest specjalista ds. bezpieczestwa IT – Hendrik Weimer informujący że wykrytym atakiem jest cross-site scripting (XSS), dzięki któremu można wykorzystać znak parametru ?migrującego? aplikacji AWStats. Kod exploita działa tylko wtedy, gdy użytkownik aplikacji zaznaczył automatyczne aktualizacje statystyk skryptu. Poziom ryzyka znalezionego błędu określa się na wysoki. ?AWStats ma problem z prawidłową interpretacją wpisanych wartości do awstats.pl” powiedział Weimer.
Nie ma jeszcze aktualizacji udostępnionej przez twórców AWStats dającej możliwość zabezpieczenia się przed tym błędem. Debian, organizacja open source oferująca system GNU/Linux ogłosiła że świadoma jest powagi błędu, wydając już aktualizację poprawiającą lukę w swoich pakietach wersji 6.4 (stabilna) oraz 6.5 (testowa). Red Hat również ogłosił poprawki swoich pakietów, dostępne są one w obecnej (current) wersji Linux Ubuntu.
Nie jest to pierwsza luka znaleziona w AWStats. W lutym 2005 roku, organizacja iDefense odkryła podobną lukę konfiguracji programu a grupa kilku studentów nazywających się RedTeam odkryła podłoże błędu. W listopadzie 2005 pojawił oraz rozprzestrzenił się robak “Lupper”, wykorzystujący błąd znaleziony w AWStats. Użytkownicy Linux mogą uniknąć niektórych z wykrytych błędów na czas wydania aktualizacji, wyłączając opcję automatycznych aktualizacji w skrypcie. Czynność ta będzie jednak zaprzeczeniem przewidzianej funkcjonalności, gdyż cała praca powinna opierać się przecież o automatyczną pracę skryptu.
Źródło: Dark Reading