Blank spot
Innbrot
Fredag 28. Januar, 2005
At verdsveven ikkje er nokon trygg plass, fekk eg først oppleve personleg i går. Seint i går kveld sjekka eg e-postboksen min og inn tikka det ei melding frå Asle Ommundsen om at nokon hadde brote seg inn i nettsida mi.
Det viste seg å vere ei svakheit i logganalysatoren min som var grunnen. Asle la òg ved ein link frå iDefense, som skildrar problemet og moglege løysingar på dette.
Problemet
AWStats nyttar ein ufiltrert variabel som blir satt av brukar. Denne kan nyttast til å køyre kommandoar lokalt på server med webserver-rettar.
Problemet er, i følgje iDefense, stadfesta i versjonane 6.1 og 6.2, men finnast truleg òg i tidlegare utgåver.
Løysingar
Det blir presentert to løysingar på problemet.
- Legge til filtrering av den aktuelle variabelen ved å erstatte:
med linjene:if ($QueryString =~ /configdir=([^&]+)/i) { $DirConfig=&DecodeEncodedString("$1"); }if ($QueryString =~ /configdir=([^&]+)/i) { $DirConfig=&DecodeEncodedString("$1"); $DirConfig=~tr/a-z0-9_\-\/\./a-z0-9_\-\/\./cd; } - Oppgradere til versjon 6.3, som framleis er ein betaversjon, men der feilen er blitt retta opp.
Sjølv lasta eg ned versjon 6.3 og oppgraderte filene på serveren i går kveld, så no skal alt vere i skjønnaste orden — enn så lenge. Tusen takk til Asle, som gjorde meg merksam på problemet.
Andre som skriv om det same
- Innbrot i bloggen — 29.01.2005
- I likheit med Jesro Christoffer Cena vart eg òg hardt ramma av eit nytt tryggleikshol i logganalysatoren AWStats. Les meir på: iDEFENSE K-OTik Kort sagt: Om du kjører ein AWStats-versjon under 6.3, kan kven som helst bryta seg inn på nettstade...
— Huftis’ blogg
Kommentarar
Av: Asle Ommundsen, 30. Januar 2005, kl. 13.25
Nå nettopp ble AWStats 6.3 Final ferdig. Så da skal jeg oppgradere, i hvert fall. ;-)
Av: Jesro Christoffer Cena, 31. Januar 2005, kl. 08.25
Eg har nett gjort det same. :)