Gianni Amato gefunden eine Schwachstelle in StatCounter, exponieren ip2location Datenbank einloggen und Account-Anmeldeinformationen.
Die Sicherheitslücke
Die Schwachstelle besteht in statcounters Backup-Log-innen utils Verzeichnis, in dem die Datei update.sh aufzuhalten.
- googlecache: *. statcounter.com / utils / update.sh
Auszug aus Giani Amot:Der Server von dem Sie die Log-Backups der letzten drei Tage liegen ist schlecht eingestellt. Der Zugang für alle von Verzeichnis-Server ist kostenlos, include "utils"-Verzeichnis, in dem sich ein Skript Datei mit dem Namen "update.sh" innerhalb von denen sich die Benutzer und Passwort eingeben und laden Sie die Datenbankanmeldung aus ip2location.com
Update.sh
cd / home/ip2location / usr / bin / curl - Daten "login = webmaster@statcounter.com & password = kOFr3VTh '' http://www.ip2location.com/download.aspx?productcode=db6bin '> / home/ip2location / ipdb_current.bin.zip rm / home/ip2location/ipdb_new.bin unzip-p / home/ip2location/ipdb_current.bin.zip *. BIN> / home/ip2location/ipdb_new.bin if [ "$?" - ne "0"]; then echo "Sorry, neue ip_db Archiv ist nicht gültig!" exit 1 fi mv / home/ip2location/ipdb_new.bin / home/ip2location/ipdb.bin rm / home/ip2location/ipdb_current.bin.zip / bin / cp / home/ip2location/ipdb.bin / mnt / rd / ipdb. bin
htaccess-Workaround
die folgenden Plätze. htaccess-Code innerhalb statscounter / utils / Verzeichnis
# Zugriff auf beliebige Dateien mit *. sh Dateitypen <Files ~ "^\.sh"> Order allow, deny Deny aus allen Satisfy All </ Files> # Deny Antrag auf *. log & kommentieren Dateien <Dateien ~ "^. * \. ([Ll] [Oo] [Gg] | [Cc] [Oo] [mm] [mm] [Ee] [nN] [Tt]) "> Order allow, deny Deny aus allen Satisfy All </ Files >Passwort geschützte Verzeichnisse
AuthType Basic AuthName "restricted area" AuthUserFile / usr / local / etc / .htpasswd-ALLUSERS require valid-userHinweis: Sie benötigen zum Ändern der Passwort-Datei AuthUserFile Standort abhängig von Ihrem Server-Konfigurationen.
Externe Ressourcen
- 27. Januar 2008 um 1:11 pm
- 3. Februar 2008 um 11:48
- 0,3
- URL
Keine Kommentare zu "StatCounter Update.sh Sicherheitslücke Fixes"
Trackback URL: Verwenden Sie die ↑ TrackBack-URL zu diesem Artikel Ping. Wenn Ihr Blog nicht unterstützt Trackbacks Vielleicht möchten Sie einen Kommentar hinterlassen.
"schreiben, als ob Sie sich unterhielten, ein guter Freund (vor Ihrer Mutter)."
. Ihre Meinung zählt
Disclaimer: Für alle Inhalte, die Sie veröffentlichen, gewähren Sie hiermit zu Kakkoi die gebührenfreie, unwiderrufliche, unbefristete, exklusive und vollständig sublizenzierbare Lizenz zu nutzen, zu reproduzieren, zu modifizieren, anzupassen, zu veröffentlichen, zu übersetzen, abgeleitete Arbeiten erstellen, verteilen, die Durchführung und den Anzeige solcher Inhalte ganz oder teilweise, welt-weit zu tragen und sie in anderen Werken, in irgendeiner Form, Medien oder Technologie jetzt bekannt ist oder später entwickelt. Some rights reserved.
Die folgenden "Code" sind so konzipiert, schützen Sie und andere Nutzer dieser Website.
Um diese Erfahrungen angenehm und interessant für alle unsere Nutzer, bitten wir Sie, folgen Sie den oben genannten Richtlinien.
als erstes zur Stellungnahme.