Vendor Status Note JVNCIAC-Q-052

awstats に入力データを適切に無害化しない脆弱性

概要

awstats には、ユーザ入力データを eval() 関数に渡す前に適切に無害化しない脆弱性があります。

想定される影響

遠隔から第三者が Web サーバのログに記録される HTTP Referrer 変数を経由して、awstats を実行しているユーザの権限を取得する可能性があります。

ベンダ情報

ベンダリンク更新日
DebianDebian Security Advisory DSA-892
awstats -- missing input sanitising
参考情報

  1. ISS X-Force Database: awstats-eval-execute-commands(21769)
    AWStats eval() execute commands
JPCERT 緊急報告
JPCERT REPORTJPCERT-WR-2005-4501 ( 2005-11-16 )
CIAC BulletinQ-052 awstats ( 2005-11-11 )
CVE2005-1527 [CVE+] XF21769
PGP署名JVNCIAC-Q-052.html.sig
登録日8:17 2005/11/21
更新日8:17 2005/11/21

Copyright(C) 2002-2009 Keio Univ. All rights reserved.