原标题:云安全日报201228:Debian Web服务器发现执行任意代码漏洞,需要尽快升级
Debian是一个完全自由的稳定且安全的基于Linux的操作系统,其使用范围包括笔记本计算机,台式机和服务器。Debian是许多其他发行版(例如:Ubuntu、Knoppix、PureOS、SteamOS等)的种子和基础。自1993年以来,它的稳定性和可靠性就深受用户喜爱。
近日,Debian Web服务器日志分析器Awstats发现执行任意代码漏洞,需要尽快升级。以下是漏洞详情:
漏洞详情
来源:https://www.debian.org/lts/security/2020/dla-2506
CVE-2020-29600, CVE-2020-35176 CVSS评分: 7.5 高
目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。
Debian系统Web服务器日志分析器Awstats容易受到路径遍历攻击。当默认的/etc/awstats/awstats.conf不存在时,先前的修复无法完全解决该问题,未经身份验证的远程攻击者可以利用它来执行任意代码。
受影响产品及版本
上述漏洞影响 Awstats 7.6 + dfsg-1 + deb9u2之前版本
解决方案
对于Debian 9 Stretch,此问题已在Awstats7.6 + dfsg-1 + deb9u2版本中修复。对于其他Debian版本,官方建议及时更新Awstats可用最新软件包
查看更多漏洞信息 以及升级请访问官网:
https://www.debian.org/lts/security/