Blank spot

Fredag 28. Januar, 2005

At verdsveven ikkje er nokon trygg plass, fekk eg f�rst oppleve personleg i g�r. Seint i g�r kveld sjekka eg e-postboksen min og inn tikka det ei melding fr� Asle Ommundsen om at nokon hadde brote seg inn i nettsida mi.

Det viste seg � vere ei svakheit i logganalysatoren min som var grunnen. Asle la �g ved ein link fr� iDefense, som skildrar problemet og moglege l�ysingar p� dette.

Problemet

AWStats nyttar ein ufiltrert variabel som blir satt av brukar. Denne kan nyttast til � k�yre kommandoar lokalt p� server med webserver-rettar.

Problemet er, i f�lgje iDefense, stadfesta i versjonane 6.1 og 6.2, men finnast truleg �g i tidlegare utg�ver.

L�ysingar

Det blir presentert to l�ysingar p� problemet.

1. Legge til filtrering av den aktuelle variabelen ved � erstatte:
   

   
   if ($QueryString =~ /configdir=([^&]+)/i)    { 
     $DirConfig=&DecodeEncodedString("$1");    
   }
   
   

   med linjene:

   if ($QueryString =~ /configdir=([^&]+)/i)    {
     $DirConfig=&DecodeEncodedString("$1");
     $DirConfig=~tr/a-z0-9_\-\/\./a-z0-9_\-\/\./cd;
   }
   
   

2. Oppgradere til versjon 6.3, som framleis er ein betaversjon, men der feilen er blitt retta opp.

Sj�lv lasta eg ned versjon 6.3 og oppgraderte filene p� serveren i g�r kveld, s� no skal alt vere i skj�nnaste orden — enn s� lenge. Tusen takk til Asle, som gjorde meg merksam p� problemet.

Verdsveven

Forrige | Neste

---

Andre som skriv om det same

Innbrot i bloggen — 29.01.2005

I likheit med Christoffer Cena vart eg òg hardt ramma av eit nytt tryggleikshol i logganalysatoren AWStats. Les meir på: iDEFENSE K-OTik Kort sagt: Om du kjører ein AWStats-versjon under 6.3, kan kven som helst bryta seg inn på nettstade...
— Huftis’ blogg

Kommentarar

---

---