Обнаружены множественные уязвимости в AWStats

Описание:
Уязвимость позволяет удаленному пользователю выполнить некоторые перл директивы, вызвать отказ в обслуживании и получить доступ к важной информации пользователей.

1. Уязвимость обнаружена в плагине rawlog при обработке переменных loadplugin и pluginmode. Удаленный пользователь может выполнить произвольный perl сценарий с привилегиями web-сервера или вызвать отказ в обслуживании. Пример:

http://www.lan.server/cgi-bin/awstats-6.4/awstats.pl?&PluginMode=:print+getpwent

2. Удаленный пользователь может выполнить произвольный плагин. Уязвимость существует из-за недостаточной проверки данных перед вызовом функции require(). Пример:

http://server/cgi-bin/awstats-6.4/awstats.pl?&loadplugin=../../../../usr/libdata/perl/5.00503/blib

3. Удаленный пользователь может получить доступ к важной информации, вызвав один из отладочных сценариев. Пример:

http://www.lan.server/cgi-bin/awstats-6.4/awstats.pl?debug=1
http://www.lan.server/cgi-bin/awstats-6.4/awstats.pl?debug=2

Пример/Эксплоит: См. Источник сообщения.

URL производителя: http://awstats.sourceforge.net

Решение: Установите обновление с сайта производителя.

Уязвимость обнаружил mestereeo