Verhindern Sie Angriffe über Ihre AWStats-Statistiken

28. August 2008
Arne Schwarze Von Arne Schwarze, IT Sicherheit, News & Trends ...

In AWStats Totals ist eine Sicherheitslücke vorhanden, die Angreifern das Ausführen von eigenen Kommandos mit den Berechtigungen Ihres Webservers erlaubt.

AWStats-Logo

Ab Version 1.15 ist die Sicherheitslücke in AWStats Totals behoben.

Wenn Sie AWStats Totals für die Auswertung Ihrer Besucherstatistiken auf Ihrem Webserver verwenden, können Angreifer beliebige Kommandos mit den Berechtigungen des Webserverdienstes ausführen.

Schuld ist eine Sicherheitslücke: Ruft ein Angreifer die Datei "awstatstotals.php" mit bestimmten Parametern auf, kann er hierüber Befehle auf Ihren Webserver schleusen.

Anfällig sind alle Versionen ab 1.0 bis 1.14. In der aktuellen Version 1.15 ist die Sicherheitslücke geschlossen. Da bereits mehrere Exploits für diese Sicherheitslücke bekannt sind, sollten Sie Ihr System zeitnah auf die Version 1.15 aktualisieren. Falls dies nicht möglich ist, sperren Sie bis zum Update den Zugriff auf die Datei "awstatstotals.php".

Gratis: Die besten Viren-Scanner im Test

+ Gratis Eilmeldungen "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner,
  • das zeichnet einen guten Viren-Scanner aus,
  • Gratis Eilmeldungen sobald ein neuer Virus auftaucht.
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Weitere Artikel zum Thema

Gratis: Die besten Viren-Scanner im Test

+ "Viren Ticker" per E-Mail

  • Top-10 der Gratis-Viren-Scanner
  • Gratis Virus-Eilmeldungen
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"