Российские хакеры нашли уязвимости в AWStats
Российские хакеры нашли несколько уязвимостей в популярном веб-приложении для подчета статистики AWStats.
Уязвимости позволяют удаленному пользователю выполнить некоторые perl-директивы, вызвать отказ в обслуживании и получить доступ к важной информации пользователей. Одна уязвимость обнаружена в плагинах loadplugin и pluginmode из-за некорректно обработки переменных. Удаленный пользователь может выполнить произвольный сценарий с привилегиями веб-сервера или вызвать отказ в обслуживании. Другая "дыра" позволяет выполнить произвольный плагин. Уязвимость связана с недостаточной проверкой данных перед вызовом функции require(). Также удаленный пользователь может получить доступ к важной информации, вызвав один из отладочных сценариев.
"Дыры" находятся в AWStats 6.3 и более ранних версий. Уже существует эксплойт для их использования. Эксперты присвоили уязвимостям рейтинг опасности "высокая". На настоящий момент способов устранения указанных "дыр" нет, сообщил Securitylab.
Уязвимости позволяют удаленному пользователю выполнить некоторые perl-директивы, вызвать отказ в обслуживании и получить доступ к важной информации пользователей. Одна уязвимость обнаружена в плагинах loadplugin и pluginmode из-за некорректно обработки переменных. Удаленный пользователь может выполнить произвольный сценарий с привилегиями веб-сервера или вызвать отказ в обслуживании. Другая "дыра" позволяет выполнить произвольный плагин. Уязвимость связана с недостаточной проверкой данных перед вызовом функции require(). Также удаленный пользователь может получить доступ к важной информации, вызвав один из отладочных сценариев.
"Дыры" находятся в AWStats 6.3 и более ранних версий. Уже существует эксплойт для их использования. Эксперты присвоили уязвимостям рейтинг опасности "высокая". На настоящий момент способов устранения указанных "дыр" нет, сообщил Securitylab.
Ещё новости по теме:
18:20