发布日期：2006-05-07
更新日期：2006-06-07

受影响系统：

AWStats AWStats <= 6.5

描述：

---

BUGTRAQ  ID: 17844
CVE(CAN) ID: CVE-2006-2237

AWStats是一款极为流行的基于Web的网站流量分析软件。

AWStats对用户请求的处理上存在输入验证漏洞，远程攻击者可能利用此漏洞注入PHP代码执行任意命令。

AWStats的awstats.pl脚本没有对migrate变量值做充分的过滤检查，当AllowToUpdateStatsFromBrowser选项被使能的时候，远程攻击者可能利用漏洞注入任意的Shell命令以Web进程权限执行。

<*来源：Hendrik Weimer （hendrik@enyo.de）
  
  链接：http://security.gentoo.org/glsa/glsa-200606-06.xml
        http://www.debian.org/security/2006/dsa-1058
*>

建议：

---

厂商补丁：

Debian
------
Debian已经为此发布了一个安全公告（DSA-1058-1）以及相应补丁:
DSA-1058-1：New awstats packages fix arbitrary command execution
链接：http://www.debian.org/security/2005/dsa-1058

补丁下载：
Source archives:

http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge2.dsc
Size/MD5 checksum:      591 bc33a94cbf5cb3fe89922f312434d0d6
http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge2.diff.gz
Size/MD5 checksum:    18702 88fa1b4b53640c4b5b05deaca9a3c156
http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4.orig.tar.gz
Size/MD5 checksum:   918435 056e6fb0c7351b17fe5bbbe0aa1297b1

Architecture independent components:

http://security.debian.org/pool/updates/main/a/awstats/awstats_6.4-1sarge2_all.deb
Size/MD5 checksum:   728566 d3241a30634640b4f363097f751e7282

补丁安装方法：

1. 手工安装补丁包：

  首先，使用下面的命令来下载补丁软件：
  # wget url  (url是补丁下载链接地址)

  然后，使用下面的命令来安装补丁：  
  # dpkg -i file.deb (file是相应的补丁名)

2. 使用apt-get自动安装补丁包：

   首先，使用下面的命令更新内部数据库：
   # apt-get update
  
   然后，使用下面的命令安装更新软件包：
   # apt-get upgrade

Gentoo
------
Gentoo已经为此发布了一个安全公告（GLSA-200606-06）以及相应补丁:
GLSA-200606-06：AWStats: Remote execution of arbitrary code
链接：http://security.gentoo.org/glsa/glsa-200606-06.xml

所有AWStats用户都应升级到最新版本:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=net-www/awstats-6.5-r1"

AWStats
-------
http://www.debian.org/security/2006/dsa-1058

浏览次数：3388
严重程度：0（网友投票）