摩托學園討論區

[訪客]

awstats 喔 看來要先拿掉了
ulnerable AWStats AWStats 5.0
AWStats AWStats 5.1
AWStats AWStats 5.2
AWStats AWStats 5.3
AWStats AWStats 5.4
AWStats AWStats 5.5
AWStats AWStats 5.6
AWStats AWStats 5.7
AWStats AWStats 5.8
AWStats AWStats 5.9
AWStats AWStats 6.0
AWStats AWStats 6.1
AWStats AWStats 6.2
Gentoo Linux
真恐怖

原來6.3出了~快升吧

[chihchun]

說明一下，就如先前所討論，此次遭到入侵是因為 awstats 的漏洞。Debian Security Team 這次並沒有妥善的處理，一未發放 DSA，二則修復的程序不夠完整。Joey Hess 其實在 awstats 被公開安全漏洞後，於一月二十二日上傳從 Ubuntu 來的非官方修正，然而卻未修復其他的輸入檢核問題。dot 於 Sat Jan 22 20:44:47 2005 裝上 awstats 6.2-1.1。

代碼: 選擇全部

awstats (6.2-1.1) unstable; urgency=HIGH

  * NMU with the following patch from Ubuntu. Closes: #291064
  * SECURITY UPDATE: fix arbitrary command execution
  * awstats/wwwroot/cgi-bin/awstats.pl: remove all non-path characters from
    the "configdir" parameter and the SiteConfig variable to prevent execution
    of arbitrary shell commands when open()'ing them.
  * References:
    CAN-2005-0116
    http://www.idefense.com/application/poi/display?id=185&type=vulnerabilities

 -- Joey Hess <joeyh@debian.org>  Thu, 20 Jan 2005 16:29:35 -0500


而我在幾天前就完整的聽過朋友的安全簡報，敘述了詳細的漏洞細節，也因此和 jesse 決定先停止 awstats 幾天，而三日，我在進行統備份與 dot 子系統建制作業(people.dot, apt.dot)時，在恍惚的狀態下又啟動 awstats，也因此重新開了此漏洞。

入侵者暱稱 aneurysm.inc，來自巴西，操葡萄牙語，專攻 Unix 系統，左派頃向。攻擊的對象多半為歐美政府或特定非營利組織。攻擊行為從 03/Feb/2005:20:42:41 +0800 開始 03/Feb/2005:21:47:19 +0800 結束，他搜尋了特定檔案與目錄，並替換調特定頁面。並試圖安裝木馬並取出資料庫內容，因啟用 iptables 與 Apache ACL 而失敗。攻擊行動在我與 Jesse 於 2/3 22:02 發現後，暫時關閉 Apache 後停止。入侵者仍於 2/4, 2/5 試圖再次進入系統，失敗。

未來 dot 計畫中的解決辦法是利用 chroot 環境與更換 web pages owner 辦法避免再次受到破壞。

目前 awstats 在 Debian sid, sarge 與 Ubuntu 都是危險版本。
請儘速升級到 awstats 6.3。細節請參考 #291306 我的回覆。

代碼: 選擇全部

References:
 * Defacement http://www.zone-h.org/en/defacements/view/id=2038714/
 * CAN-2005-0116 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0116
 * Debian BTS
   http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=291306
   http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=291064
 * Bugtraq ID
   http://www.securityfocus.com/bid/12298/
   http://www.securityfocus.com/bid/12270/
 * iDEFENSE Security Advisory
   http://www.idefense.com/application/poi/display?id=185&type=vulnerabilities&flashstatus=false
 * Patch from Ubuntu
   http://patches.ubuntu.com/patches/awstats.CAN-2005-0016.diff


[訪客]

沒事多上 security 相關的網站...

常 patch and update all programs...

請問
kernel 通常怎麼patch 比較好呢?? (比如說 若 出現 security problem 但因為 run在 正式的環境, 部會直接更新到最新的版本).
我曾試過 直接 patch

代碼: 選擇全部

patch <param-if-necessary> < patch-file


不過 會需要 對話式的 輸入, 很麻煩 也很容易出錯.
所以想請教一下 在debian 底下有比較好的 方式嘛?
或是有比較好的做法??
謝謝

[Tetralet]

我曾試過 直接 patch

代碼: 選擇全部

patch <param-if-necessary> < patch-file

不過 會需要 對話式的 輸入, 很麻煩 也很容易出錯.
所以想請教一下 在debian 底下有比較好的 方式嘛?
或是有比較好的做法??
謝謝

我都是用：

代碼: 選擇全部

patch -Np1 -i PatchFileName.diff

不知是否適用於 Kernel？

[bboy]

說明一下，就如先前所討論，此次遭到入侵是因為 awstats 的漏洞。Debian Security Team 這次並沒有妥善的處理，一未發放 DSA，二則修復的程序不夠完整。Joey Hess 其實在 awstats 被公開安全漏洞後，於一月二十二日上傳從 Ubuntu 來的非官方修正，然而卻未修復其他的輸入檢核問題。dot 於 Sat Jan 22 20:44:47 2005 裝上 awstats 6.2-1.1。

<SNIP>

目前 awstats 在 Debian sid, sarge 與 Ubuntu 都是危險版本。
請儘速升級到 awstats 6.3。細節請參考 #291306 我的回覆。

Server 應該用 Debian Stable (現在的 Stable 是 3.0r4)，而不是 testing/unstable。