AWFFull 3.7.4 estable lanzado

Autor: Armonth | El jueves 10 de mayo del 2007 @ 18:14.

AWFFull (un fork del Webalizer del cual ya os hablé) el cual se ha convertido en mi sistema de estadísticas de facto ha lanzado la versión 3.7.4 estable. Para quien lo use recomiendo actualizar inmediatamente.

Las novedades frente la anterior versión estable más importantes son:

  • Se han eliminado algunas de las traducciones para los nombres de algunos países que AWFFull saca cuando funciona bajo otro idioma que no sea el inglés. Esto es necesario porque ha descubierto que muchas de esas traducciones son muy incorrectas.

  • Ahora soporta fuentes TrueType en todos los gráficos. Esto además da soporte para caracteres nativos en los gráficos. También tiene varios arreglos menores relacionados a detección mejorada de la fuente TrueType utilizada.

  • La última beta (3.7.4-beta3) se ha enfocado principalmente a arreglar la forma en que aparece el texto japones en los gráficos usando las fuentes TrueType.

Y lo más importante sin duda:

  • La versión 3.7.4 es principalmente un arreglo a un agujero de seguridad de tipo XSS en el reporte "All Search Phrases" con algunos arreglos más para las fuentes y las traducciones al alemán.

¿Por qué me interesa tanto? Porque me afecta(ba): fui yo mismo quien reporte el fallo porque en el campo "All Search Phrases" (mostrar todas las palabras clave por la que llegan desde los buscadores) cosas como por qué no valida <marquee> lo procesaba tal cual y sin filtrar nada por lo que me encontraba a mitad de lista con una "marquesina".

Y lo que en principio es una molestia (un marquee) por lógica me hizo presuponer que podía ser algo peor como por ejemplo un ataque XSS: sólo hace falta enviar una búsqueda con cabeceras (HTTP_REFERER) especialmente diseñadas para que la visita parezca provenir de un buscador y con código XSS. Al estar ese código en la web tal cual se ejecutará cuando accedas a las estadísticas y en ese momento pasarás a estar con el culo en pompa.

Al final según el autor de AWFFull no es un problema de saneado del AWFFull si no de una función de PCRE que se olvidaba / eliminaba las comillas dobles y hacía fallar una de las comprobaciones. Para el caso tanto da: es necesaria la actualización.

Comentarios