6.1 ~ 6.3 より前のバージョンで、遠隔操作可能な脆弱性。
ITmedia エンタープライズ:アクセス解析ツール にバグ、人気Blogが改ざんの被害に
これは「AWStatsの『configdir』のリモートコマンド実行の脆弱性」として知られ、1月17日にセキュリティ企業iDefense が公表した。iDefenseのアドバイザリによると、攻撃者はAWStatsの入力認証の脆弱性をリモートから悪用することで、Webサーバ特権 の下で任意のコマンドを実行できる。
AWStats, Secunia - Advisories - AWStats "configdir" Parameter Arbitrary Command Execution, CAN-2005-0116 (under review), iDEFENSE - AWStats Remote Command Execution Vulnerability
追記: 2005-02-11
tags: AWStats zurazure
Posted by NI-Lab. (@nilab)