CERTA-2001-AVI-132

Vulnerability from certfr_avis - Published: - Updated:

Deux vulnérabilités du programme webalizer permettent à un utilisateur mal intentionné d'inclure des scripts dans les rapports HTML générés par webalizer.

Description

Webalizer est un programme permettant de traiter les fichiers de logs d'un serveur HTTP. La nature de certains champs des fichiers de logs n'est pas vérifiée par le programme, et sont intégralement retranscrits dans le rapport généré en HTML.

Un utilisateur mal intentionné peut y inclure des scripts, qui seront exécutés soit par un navigateur parcourant ce rapport, soit par d'autres programmes qui interprètent ces rapports.

Les deux champs vulnérables sont :

  • le nom de la machine accèdant au serveur HTTP ;
  • le champ Referer.

Contournement provisoire

Si la résolution DNS est activée dans webalizer (option -enable-dns), s'assurer que le système de résolution DNS inverse filtre les méta-caractères HTML.

Modifier la configuration de webalizer pour qu'il ne traite plus le champ Referer des fichiers de logs (ce champ est traité dans la configuration par défaut).

Solution

Télécharger le correctif :

ftp://ftp.mrunix.net/pub/webalizer/sec-fix.patch

ou mettre à jour webalizer à la version 2.01-09.

Webalizer versions 2.01-06 et antérieures.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eWebalizer versions 2.01-06 et ant\u00e9rieures.\u003c/P\u003e",
  "content": "## Description\n\nWebalizer est un programme permettant de traiter les fichiers de logs\nd\u0027un serveur HTTP. La nature de certains champs des fichiers de logs\nn\u0027est pas v\u00e9rifi\u00e9e par le programme, et sont int\u00e9gralement retranscrits\ndans le rapport g\u00e9n\u00e9r\u00e9 en HTML.\n\nUn utilisateur mal intentionn\u00e9 peut y inclure des scripts, qui seront\nex\u00e9cut\u00e9s soit par un navigateur parcourant ce rapport, soit par d\u0027autres\nprogrammes qui interpr\u00e8tent ces rapports.\n\nLes deux champs vuln\u00e9rables sont :\n\n-   le nom de la machine acc\u00e8dant au serveur HTTP ;\n-   le champ Referer.\n\n## Contournement provisoire\n\nSi la r\u00e9solution DNS est activ\u00e9e dans webalizer (option -enable-dns),\ns\u0027assurer que le syst\u00e8me de r\u00e9solution DNS inverse filtre les\nm\u00e9ta-caract\u00e8res HTML.  \n\nModifier la configuration de webalizer pour qu\u0027il ne traite plus le\nchamp Referer des fichiers de logs (ce champ est trait\u00e9 dans la\nconfiguration par d\u00e9faut).\n\n## Solution\n\nT\u00e9l\u00e9charger le correctif :\n\n    ftp://ftp.mrunix.net/pub/webalizer/sec-fix.patch\n\n  \n\nou mettre \u00e0 jour webalizer \u00e0 la version 2.01-09.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2001-AVI-132",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-10-26T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire"
    }
  ],
  "summary": "Deux vuln\u00e9rabilit\u00e9s du programme webalizer permettent \u00e0 un utilisateur\nmal intentionn\u00e9 d\u0027inclure des scripts dans les rapports HTML g\u00e9n\u00e9r\u00e9s par\nwebalizer.\n",
  "title": "Vuln\u00e9rabilit\u00e9s de webalizer",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.