mblog

Angesichts eines wirklich sensibilisierenden Artikels auf heise security zu neuartigen Angriffsmöglichkeiten im Web, schaute ich mich kurz auf dem eigenen Server um und siehe da, nicht alle Pakete, die es verdienen stehen auch im volatile pool. Die Distro bot mir damals Awstats nur in der Version 6.5, die apt immer noch als aktuell markiert, dabei aber schon längst veraltet ist. Selbst die aktuelle stabile Version 6.8 ermöglicht laut Awstats-Website XSS Attacken. Nur schade, dass die 6.9 beta nicht so wirklich mag:

Global symbol "$pagecode" requires explicit package name at /usr/local/awstats/wwwroot/cgi-bin/awstats.pl line 556.
Execution of /usr/local/awstats/wwwroot/cgi-bin/awstats.pl aborted due to compilation errors.

Dann muss es eben erst einmal die 6.8 sein und los gehts etwas HOWTO-artig:

machine:/tmp# wget http://prdownloads.sourceforge.net/awstats/awstats-6.8.tar.gz && tar -xzf awstats-6.8.tar.gz

Erst holen und entpacken,
machine:/tmp# mv awstats-6.8 /usr/local/awstats

das Ganze an den richtigen Platz verschieben, da sonst das configure Script meckert und besagtes script ausführen:
machine:/tmp# cd /usr/local/awstats/tools
machine:/usr/local/awstats/tools# ./awstats_configure.pl

Dabei gibt es eigentlich keine Probleme. Beim Upgrade von 6.5 auf 6.8 mag awstats allerdings gern andere aliases in der apache2.conf stehen haben. Da müsst Ihr einfach mal überprüfen ob das alles noch klappt. Da ich meine vorherige Version gepurged hatte, waren natürlich die alten db-files aus /var/lib/awstats verschwunden, was aber recht schnell, zumindest für den zurückliegenden Monat mit

machine:/usr/local/awstats/tools# perl awstats_updateall.pl now

zu beheben ist.