漏洞信息详情

Awstats 配置文件 远程任意命令执行漏洞

• CNNVD编号：CNNVD-200605-512
• 危害等级： 中危
  
• CVE编号： CVE-2006-2644
• 漏洞类型： 输入验证
• 发布时间： 2006-05-30
• 威胁类型： 远程
• 更新时间： 2006-05-30
• 厂        商： awstats
• 漏洞来源： Hendrik Weimer is ...

漏洞简介

AWStats 6.5及可能的其他版本可以使远程认证用户使用对awstats.pl的 configdir参数上传名称包含shell元字符的配置文件，然后再使用LogFile 指令访问该文件，从而执行任意代码。

漏洞公告

参考网址

来源: MISC

链接:http://www.osreviews.net/reviews/comm/awstats

来源: DEBIAN

名称: DSA-1075

链接:http://www.debian.org/security/2006/dsa-1075

来源: SECUNIA

名称: 20283

链接:http://secunia.com/advisories/20283

来源: SECUNIA

名称: 20164

链接:http://secunia.com/advisories/20164

来源: bugs.debian.org

链接:http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=365910

来源: UBUNTU

名称: USN-290-1

链接:http://www.ubuntulinux.org/support/documentation/usn/usn-290-1

来源: BID

名称: 18327

链接:http://www.securityfocus.com/bid/18327

来源: SUSE

名称: SUSE-SA:2006:033

链接:http://www.novell.com/linux/security/advisories/2006_33_awstats.HTML

来源: VUPEN

名称: ADV-2006-1998

链接:http://www.frsirt.com/english/advisories/2006/1998

来源: SECUNIA

名称: 20710

链接:http://secunia.com/advisories/20710

来源: SECUNIA

名称: 20502

链接:http://secunia.com/advisories/20502

受影响实体

• Awstats Awstats:6.4_1:Sarge1  
• Awstats Awstats:6.5  
• Awstats Awstats:6.5_1  

补丁

暂无