писание:
В популярном проекте AWStats было найдено несколько серьезных ошибок, позволяющие выполнять команды. Так, например, если скрипту awstats.pl передать параметр pluginmode=:system(«cmd»), то команда успешно выполнится. Чтобы облегчить задачу хакера, багоискателями был написан простенький эксплойт, который посылает нужный параметр в зависимости от выбранной ошибки.
Уязвимыми считаются версии 5.7 – 6.2. Чтобы найти подобные релизы, достаточно войти в гугл и набрать запрос «inurl:awstats.pl Advanced.Web.Statistics.5.7». После такого предложения, гугл выдал мне несколько сотен ссылок. Уже после пятой попытки эксплуатирования, удача мне улыбнулась и я увидел список директорий на удаленном сервере.
Ссылки:
Рабочий эксплойт для AWStats ждет тебя здесь: www.xakep.ru/post/25775/exploit.txt. Для более детального изучения CGI-багов, можешь прочитать эту новость: http://security.nnov.ru/news4482.html
Защита:
Для защиты от глупых багов рекомендуется установить пароль на вход в зону статистики, либо обновить версию AWStats. Последние релизы проекта доступны на сайте http://awstats.sourceforge.net
