Debian是一个完全自由、稳定且安全的Linux操作系统,广泛应用于笔记本电脑、台式机和服务器。自1993年以来,它以其卓越的稳定性和可靠性赢得了众多用户的信赖,并成为许多其他发行版的基础。
最近,Debian Web服务器日志分析器Awstats被发现存在任意代码执行的漏洞,因此需要用户尽快进行升级。以下是该漏洞的详细信息:
漏洞详情
来源:https://www.debian.oRg/lts/security/2020/dla-2506
CVE-2020-29600, CVE-2020-35176 CVSS评分:7.5(高)
路径遍历漏洞是由于Web服务器或Web应用程序对用户输入的文件名进行安全性验证不足,攻击者可以利用特定字符绕过服务器的安全限制,访问任意文件,包括Web根目录之外的文件,甚至执行系统命令。
Debian系统中的Awstats容易受到路径遍历攻击。当默认的/etc/awstats/awstats.conf文件缺失时,先前的修复措施无法完全解决此问题,未经身份验证的远程攻击者可能会利用这一漏洞执行任意代码。
受影响的产品及版本
该漏洞影响Awstats 7.6及其之前的版本,包括dfSG-1和deb9u2。
解决方案
对于Debian 9 Stretch,Awstats 7.6 + dfSG-1 + deb9u2版本已修复此问题。对于其他Debian版本,建议用户及时更新Awstats至最新的软件包。
欲了解更多漏洞信息及升级详情,请访问官网:
https://www.debian.oRg/lts/security/
[[[IMG_1]]]
[[[IMG_2]]]
[[[IMG_3]]]
