Statcounter Update.sh Vulnerability Fixes Statcounter Update.sh vulnerabilidad fija

Gianni Amato found a vulnerability in statcounter that can expose ip2location database log and account credentials. Gianni Amato encontrado una vulnerabilidad en statcounter que puede exponer ip2location base de datos de registro de cuenta y credenciales.

The Vulnerability La vulnerabilidad

The vulnerability exists in statcounters backup log inside utils directory where the file update.sh reside. La vulnerabilidad existe en statcounters registro de copia de seguridad dentro de utils directorio donde el archivo update.sh residen.

• googlecache: *.statcounter.com/utils/update.sh googlecache: *. statcounter.com / utils / update.sh

Excerpt from Giani Amot: Extracto de Giani AMOT:

The server where the backup’s log of the last three days are situated is badly set. El servidor donde la copia de seguridad del registro de los últimos tres días se encuentran es mal conjunto. The access for all directory by server is free, include “utils” directory that contains one script file called “update.sh” inside of which are situated the user and password to enter and download the database log from ip2location.com El acceso de todos por el servidor de directorio es gratuita, incluye "utilidades" directorio que contiene un archivo de comandos llamado "update.sh" dentro de los cuales se encuentra el usuario y contraseña para entrar y descargar la base de datos de registro de ip2location.com

Update.sh

 cd /home/ip2location cd / home/ip2location 

 /usr/bin/curl --data 'login=webmaster@statcounter.com&password=kOFr3VTh' 'http://www.ip2location.com/download.aspx?productcode=db6bin' > /home/ip2location/ipdb_current.bin.zip / usr / bin / curl - datos' login = webmaster@statcounter.com y password = kOFr3VTh '' http://www.ip2location.com/download.aspx?productcode=db6bin '> / home/ip2location/ipdb_current.bin.zip 

 rm /home/ip2location/ipdb_new.bin rm / home/ip2location/ipdb_new.bin 

 unzip -p /home/ip2location/ipdb_current.bin.zip *.BIN > /home/ip2location/ipdb_new.bin descomprimir-p / home/ip2location/ipdb_current.bin.zip *. BIN> / home/ip2location/ipdb_new.bin 

 if [ "$?" if [ "$?" -ne "0" ]; then -ne "0"]; entonces 

  echo "Sorry, new ip_db archive isn't valid!" echo "Lo sentimos, ip_db nuevo archivo no es válida!" 

  exit 1 exit 1 

 fi 

 mv /home/ip2location/ipdb_new.bin /home/ip2location/ipdb.bin mv / home/ip2location/ipdb_new.bin / home/ip2location/ipdb.bin 

 rm /home/ip2location/ipdb_current.bin.zip rm / home/ip2location/ipdb_current.bin.zip 

 /bin/cp /home/ip2location/ipdb.bin /mnt/rd/ipdb.bin / bin / cp / home/ip2location/ipdb.bin / mnt / rd / ipdb.bin 

htaccess workaround htaccess solución

places the following .htaccess code inside statscounter /utils/ directory los siguientes lugares. htaccess código dentro de statscounter / utils / directorio

 #deny access to any file with *.sh filetypes # denegar el acceso a cualquier archivo con el archivo *. sh 
 <Files ~ "^\.sh"> <Files ~ "^\.sh"> 
  Order allow,deny Orden allow, deny 
  Deny from all Denegar de todos 
  Satisfy All Satisfacer todas las 
 </Files> </ Archivos> 

 #Deny request for *.log & comment files # Deniega la solicitud de registro y *. archivos comentario 
 <Files ~ "^.*\.([Ll][Oo][Gg]|[cC][oO][mM][mM][eE][nN][tT])"> <Files ~ "^.*\.([Ll][Oo][Gg]|[cC][oO][mM][mM][eE][nN][tT])"> 
  Order allow,deny Orden allow, deny 
  Deny from all Denegar de todos 
  Satisfy All Satisfacer todas las 
 </Files> </ Archivos> 

password protected directories directorios protegidos con contraseña

 AuthType Basic AuthType Basic 
 AuthName "restricted area" AuthName "zona restringida" 
 AuthUserFile /usr/local/etc/.htpasswd-allusers AuthUserFile / usr / local / etc / .htpasswd-ALLUSERS 
 require valid-user Require valid-user 

Note: You will need to change the AuthUserFile password file location depending on your server configurations. Nota: Tendrá que cambiar la contraseña AuthUserFile ubicación del archivo en función de sus configuraciones de servidor.

External Resources Recursos Externos

• Giani Amato → Se fossi tu a monitorare Statcounter.com? Giani Amato → Se Fossi un monitorare tu Statcounter.com?
• Giani Amato → Se fossi tu a monitorare Statcounter.com » English Translations Giani Amato → Se Fossi un monitorare tu Statcounter.com »Traducciones Inglés