home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / gentoo_GLSA-200501-36.nasl < prev    next >
Text File  |  2005-03-31  |  2KB  |  66 lines
  1. # This script was automatically generated from 
  2. #  http://www.gentoo.org/security/en/glsa/glsa-200501-36.xml
  3. # It is released under the Nessus Script Licence.
  4. # The messages are release under the Creative Commons - Attribution /
  5. # Share Alike license. See http://creativecommons.org/licenses/by-sa/2.0/
  6. #
  7. # Avisory is copyright 2001-2005 Gentoo Foundation, Inc.
  8. # GLSA2nasl Convertor is copyright 2004 Michel Arboi
  9.  
  10. if (! defined_func('bn_random')) exit(0);
  11.  
  12. if (description)
  13. {
  14.  script_id(16427);
  15.  script_version("$Revision: 1.1 $");
  16.  script_xref(name: "GLSA", value: "200501-36");
  17.  
  18.  desc = 'The remote host is affected by the vulnerability described in GLSA-200501-36
  19. (AWStats: Remote code execution)
  20.  
  21.  
  22.     When \'awstats.pl\' is run as a CGI script, it fails to validate specific
  23.     inputs which are used in a Perl open() function call.
  24.   
  25. Impact
  26.  
  27.     A remote attacker could supply AWStats malicious input, potentially
  28.     allowing the execution of arbitrary code with the rights of the web
  29.     server.
  30.   
  31. Workaround
  32.  
  33.     Making sure that AWStats does not run as a CGI script will avoid the
  34.     issue, but we recommend that users upgrade to the latest version, which
  35.     fixes these bugs.
  36.   
  37. References:
  38.     http://awstats.sourceforge.net/docs/awstats_changelog.txt
  39.     http://www.idefense.com/application/poi/display?id=185
  40.  
  41.  
  42. Solution: 
  43.     All AWStats users should upgrade to the latest version:
  44.     # emerge --sync
  45.     # emerge --ask --oneshot --verbose ">=net-www/awstats-6.3"
  46.     Note: Users with the vhosts USE flag set should manually use
  47.     webapp-config to finalize the update.
  48.   
  49.  
  50. Risk factor : High
  51. ';
  52.  script_description(english: desc);
  53.  script_copyright(english: "(C) 2005 Michel Arboi");
  54.  script_name(english: "[GLSA-200501-36] AWStats: Remote code execution");
  55.  script_category(ACT_GATHER_INFO);
  56.  script_family(english: "Gentoo Local Security Checks");
  57.  script_dependencies("ssh_get_info.nasl");
  58.  script_require_keys('Host/Gentoo/qpkg-list');
  59.  script_summary(english: 'AWStats: Remote code execution');
  60.  exit(0);
  61. }
  62.  
  63. include('qpkg.inc');
  64. if (qpkg_check(package: "net-www/awstats", unaffected: make_list("ge 6.3"), vulnerable: make_list("lt 6.3")
  65. )) { security_hole(0); exit(0); }
  66.