UPDATE: DFN-CERT-2018-0006 Advanced Web Statistics: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2018-0006 Advanced Web Statistics: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (19.01.2018):
Debian stellt für die Distributionen Jessie (oldstable) 8.10 und Stretch
(stable) 9.3 Sicherheitsupdates für das Paket ‘awstats’ bereit.
Version 2 (09.01.2018):
Canonical stellt für Ubuntu 17.10, 17.04, 16.04 LTS und 14.04 LTS
Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Version 1 (04.01.2018):
Neues Advisory

Betroffene Software:

Advanced Web Statistics 7.6

Betroffene Plattformen:

Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 17.04
Canonical Ubuntu Linux 17.10
Debian Linux 8.10 Jessie
Debian Linux 9.3 Stretch
Red Hat Fedora 26
Red Hat Fedora 27
Extra Packages for Red Hat Enterprise Linux 7

Eine Schwachstelle in Advanced Web Statistics (awstats) ermöglicht einem
entfernten, nicht authentisierten Angreifer beispielsweise mit Hilfe eines
schädlich präparierten Plugins, beliebigen Programmcode mit den Rechten des
Webservers zur Ausführung zu bringen. Voraussetzung ist, dass es dem
Angreifer gelingt, den Nutzer dazu zu verleiten, ein solches Plugin in die
Installation zu integrieren.

Im offiziellen Release in der Version 7.6 sind die Schwachstellen noch nicht
behoben. Für Fedora 27 und Fedora EPEL 7 stehen Backport-Sicherheitsupdates
im Status ‘testing’ bereit, um die Schwachstelle zu beheben. Das
entsprechende Sicherheitsupdate für Fedora 26 befindet sich noch im Status
‘pending’.

Patch:

Fedora Security Update FEDORA-2018-17ba1a2393 (Fedora 26,
awstats-7.6-4.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-17ba1a2393

Patch:

Fedora Security Update FEDORA-2018-7edfa0cfbf (Fedora 27,
awstats-7.6-8.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-7edfa0cfbf

Patch:

Fedora Security Update FEDORA-EPEL-2018-2e2d08b1ff (Fedora EPEL 7,
awstats-7.6-4.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2018-2e2d08b1ff

Patch:

Ubuntu Security Notice USN-3518-1

http://www.ubuntu.com/usn/usn-3518-1/

Patch:

Debian Security Advisory DSA-4092-1

https://www.debian.org/security/2018/dsa-4092

CVE-2017-1000501: Schwachstelle in Advanced Web Statistics ermöglicht
Ausführung beliebigen Programmcodes

In der Datei ‘wwwroot/cgi-bin/awstats.pl’ existieren zwei Schwachstellen
aufgrund ungenügender Prüfung von Eingaben. In der Folge ist es möglich,
durch speziell präparierte Eingabedaten einen Pfadtraversierungsangriff
(Path Traversal) auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0006/

Schwachstelle CVE-2017-1000501 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000501

Fedora Security Update FEDORA-2018-17ba1a2393 (Fedora 26, awstats-7.6-4.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-17ba1a2393

Fedora Security Update FEDORA-2018-7edfa0cfbf (Fedora 27, awstats-7.6-8.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-7edfa0cfbf

Fedora Security Update FEDORA-EPEL-2018-2e2d08b1ff (Fedora EPEL 7,
awstats-7.6-4.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2018-2e2d08b1ff

Ubuntu Security Notice USN-3518-1:
http://www.ubuntu.com/usn/usn-3518-1/

Debian Security Advisory DSA-4092-1:
https://www.debian.org/security/2018/dsa-4092

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben