AWStatsに脆弱性が発見されました?

標記の通り、AWStats 7.0未満に脆弱性が発見されたそうです。
本件のUS Certの登録日は11/30ですが、日本で採り上げられたのは12/2でした。Scan NetSecurity経由でYahoo!のトップページにまで出ましたから、気が付かれた方も多かったのではないでしょうか。

以下、JVNに掲載された内容を一部引用します。

AWStats には、設定ファイルディレクトリを指定する際に、”\” の処理に起因する脆弱性が存在します。これにより、攻撃者はネットワーク上に存在する任意の設定ファイルを指定することが可能です。

これだけでも気が付く人は気が付いたと思いますが、実はそれほど重大な問題ではありません。大元のUS Certの記事の一部を引用しますが、

An attacker can instruct the web server to load a malicious configuration file located on a malicious SMB file share. The malicious configuration file can contain arbitrary commands to be run on the vulnerable remote server as the web service account.

要するに、”ネットワーク上に存在する任意の設定ファイル”といってもSMB file share、いわゆるWindows共有上にある設定ファイルに限定されるため、影響は非常に限定的であるといえるでしょう。細かく言うと、AWStatsが動作しているサーバがWindows共有があるネットワーク上に属し、そのサーバがWindowsもしくはSambaが動作しているUNIX系のサーバで、更にその同一Windows共有上に不正な設定ファイルを置いてそれを指定しない限りは、悪用はできないということになります。

Workaround(回避策)としてAWStats 7.0を利用することと書かれていますが、7.0は現時点でベータ版ですし、上記の条件に合致しない限りは、特に気にする必要はないと思います。

コメントする