Menü

Webstatistik-Software CNStats führt fremden Code aus

vorlesen Drucken Kommentare lesen

Mehrere Fehler in CNStats, einer Software zur Analyse der Webzugriffe auf eine Seite, ermöglichen einem Angreifer eigenen PHP-Code auf einem Server auszuführen. Unter Umständen ist damit auch der Zugriff auf das gesamte System möglich. So filtern die Module who_r.php und who_s.php die Parameter bj oder bn nicht richtig, sodass sich dort Pfade zum Inkludieren lokaler oder externer PHP-Skripte angeben lassen. Allerdings muss die Option register_globals entgegen den Sicherheitsempfehlungen aktiviert sein. Der Fehler wurde in Version 2.9 gefunden, die aktuelle Version 2.12 soll ebenfalls betroffen sein. Abhilfe schafft derzeit nur, register_globals zu deaktivieren.

Siehe dazu auch:

(dab)