话说Apache Live Log可能存在的漏洞问题

joln 发布于 2013/09/05 17:24
阅读 276
收藏 0

【Gopher China万字分享】华为云的Go语言云原生实战经验!>>>

话说Apache Live Log也是通过awstats来驱动的,还是2009年的版本,估计漏洞不少啊。。

建议慎用,个人建议

如果你的AWSTATS还停留下7.0以下版本。你就应该好好看一下本文:

漏洞名称:AWStats migrate参数处理注入漏洞
受影响系统: AWStats AWStats <= 6.5
描述:
AWStats对用户请求的处理上存在输入验证漏洞,远程攻击者可能利用此漏洞注入PHP代码执行任意命令。
AWStats的awstats.pl脚本没有对migrate变量值做充分的过滤检查,当AllowToUpdateStatsFromBrowser选项被使能的时候,远程攻击者可能利用漏洞注入任意的Shell命令以Web进程权限执行。

漏洞名称:AWStats 'LoadPlugin'目录遍历漏洞
受影响系统: AWStats AWStats <7.0
描述: AWStats存在目录遍历漏洞,攻击者可以通过特制的LoadPlugin目录允许攻击者获得敏感信息。

。。。。这还只是一部分,完整版你可以看这里,你的AWStats安全么


加载中
返回顶部
顶部