Miembros de
Boletines de Vulnerabilidades |
Cross-Site Scripting en AWStats |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Aumento de la visibilidad |
| Dificultad | Principiante |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | GNU/Linux |
| Software afectado | AWStats < 6.9 |
Descripción |
|
|
Se ha descubierto una vulnerabilidad de tipo Cross-Site Scripting en AWStats 6.8. La vulnerabilidad reside en un error en la validación de entrada del usuario en "awstats.pl". Un atacante remoto podría inyectar código web arbitrario mediante una URL especialmente diseñada. Exploit público disponible. |
|
Solución |
|
|
Actualización de software Debian (DSA-1679-1) Debian Linux 4.0 Source http://security.debian.org/pool/updates/main/a/awstats/awstats_6.5+dfsg-1+etch1.diff.gz http://security.debian.org/pool/updates/main/a/awstats/awstats_6.5+dfsg-1+etch1.dsc http://security.debian.org/pool/updates/main/a/awstats/awstats_6.5+dfsg.orig.tar.gz Arquitectura independiente: http://security.debian.org/pool/updates/main/a/awstats/awstats_6.5+dfsg-1+etch1_all.deb |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CVE-2008-3714 |
| BID | 30730 |
Recursos adicionales |
|
|
Debian Security Advisory (DSA-1679-1) http://lists.debian.org/debian-security-announce/2008/msg00271.html |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2008-12-03 |