~ubuntu-branches/ubuntu/gutsy/awstats/gutsy-updates

diff -Nur awstats-6.5/wwwroot/cgi-bin/awstats.pl awstats-6.5.new/wwwroot/cgi-bin/awstats.pl

--- awstats-6.5/wwwroot/cgi-bin/awstats.pl      2006-10-06 14:30:47.497024425 -0700

+++ awstats-6.5.new/wwwroot/cgi-bin/awstats.pl  2006-10-06 14:35:01.053898947 -0700

@@ -870,7 +870,7 @@

                                print "Example: If your config file is awstats.mysite.conf, use -config=mysite\n";

                        }

                        print "- ${tagbold}Did you create your config file 'awstats.$SiteConfig.conf' ?${tagunbold}${tagbr}\n";

-                       print "If not, you can run \"$dir/tools/awstats_configure.pl\"\nfrom command line, or create it manually.${tagbr}\n";

+                       print "If not, you can run \"awstats_configure.pl\"\nfrom command line, or create it manually.${tagbr}\n";

                        print "${tagbr}\n";

                }

                else { print "${tagbr}${tagbold}Setup (".($FileConfig?"'".$FileConfig."'":"Config")." file, web server or permissions) may be wrong.${tagunbold}${tagbr}\n"; }

@@ -4430,6 +4430,7 @@

 

 #------------------------------------------------------------------------------

 # Function:     Clean a string of HTML tags to avoid 'Cross Site Scripting attacks'

+#               and clean | char.

 # Parameters:   stringtoclean

 # Input:        None

 # Output:       None

@@ -4439,6 +4440,7 @@

        my $stringtoclean=shift;

        $stringtoclean =~ s/</&lt;/g;

        $stringtoclean =~ s/>/&gt;/g;

+       $stringtoclean =~ s/|//g;

        return $stringtoclean;

 }

 

@@ -5516,6 +5518,7 @@

 'hostfilter','hostfilterex','urlfilter','urlfilterex','refererpagesfilter','refererpagesfilterex',

 'pluginmode','filterrawlog');

 

+# Parse input parameters and sanitize them for security reasons

 $QueryString='';

 # AWStats use GATEWAY_INTERFACE to known if ran as CLI or CGI. AWSTATS_DEL_GATEWAY_INTERFACE can

 # be set to force AWStats to be ran as CLI even from a web page.

@@ -5542,26 +5545,26 @@

        # No update but report by default when run from a browser

        $UpdateStats=($QueryString=~/update=1/i?1:0);

 

-       if ($QueryString =~ /config=([^&]+)/i)                          { $SiteConfig=&Sanitize(&DecodeEncodedString("$1")); }

-       if ($QueryString =~ /diricons=([^&]+)/i)                        { $DirIcons=&DecodeEncodedString("$1"); }

-       if ($QueryString =~ /pluginmode=([^&]+)/i)                      { $PluginMode=&Sanitize(&DecodeEncodedString("$1"),1); }

-       if ($QueryString =~ /configdir=([^&]+)/i)                       { $DirConfig=&Sanitize(&DecodeEncodedString("$1")); }

+       if ($QueryString =~ /config=([^&]+)/i)                          { $SiteConfig=&Sanitize("$1"); }

+       if ($QueryString =~ /diricons=([^&]+)/i)                        { $DirIcons="$1"; }

+       if ($QueryString =~ /pluginmode=([^&]+)/i)                      { $PluginMode=&Sanitize("$1",1); }

+       if ($QueryString =~ /configdir=([^&]+)/i)                       { $DirConfig=&Sanitize("$1"); }

        # All filters

-       if ($QueryString =~ /hostfilter=([^&]+)/i)                      { $FilterIn{'host'}=&DecodeEncodedString("$1"); }                       # Filter on host list can also be defined with hostfilter=filter

-       if ($QueryString =~ /hostfilterex=([^&]+)/i)            { $FilterEx{'host'}=&DecodeEncodedString("$1"); }                       #

-       if ($QueryString =~ /urlfilter=([^&]+)/i)                       { $FilterIn{'url'}=&DecodeEncodedString("$1"); }                        # Filter on URL list can also be defined with urlfilter=filter

-       if ($QueryString =~ /urlfilterex=([^&]+)/i)                     { $FilterEx{'url'}=&DecodeEncodedString("$1"); }                        #

-       if ($QueryString =~ /refererpagesfilter=([^&]+)/i)      { $FilterIn{'refererpages'}=&DecodeEncodedString("$1"); }       # Filter on referer list can also be defined with refererpagesfilter=filter

-       if ($QueryString =~ /refererpagesfilterex=([^&]+)/i) { $FilterEx{'refererpages'}=&DecodeEncodedString("$1"); }  #

+       if ($QueryString =~ /hostfilter=([^&]+)/i)                      { $FilterIn{'host'}="$1"; }                     # Filter on host list can also be defined with hostfilter=filter

+       if ($QueryString =~ /hostfilterex=([^&]+)/i)            { $FilterEx{'host'}="$1"; }                     #

+       if ($QueryString =~ /urlfilter=([^&]+)/i)                       { $FilterIn{'url'}="$1"; }                      # Filter on URL list can also be defined with urlfilter=filter

+       if ($QueryString =~ /urlfilterex=([^&]+)/i)                     { $FilterEx{'url'}="$1"; }                      #

+       if ($QueryString =~ /refererpagesfilter=([^&]+)/i)      { $FilterIn{'refererpages'}="$1"; }     # Filter on referer list can also be defined with refererpagesfilter=filter

+       if ($QueryString =~ /refererpagesfilterex=([^&]+)/i) { $FilterEx{'refererpages'}="$1"; }        #

        # All output

-       if ($QueryString =~ /output=allhosts:([^&]+)/i)         { $FilterIn{'host'}=&DecodeEncodedString("$1"); }                       # Filter on host list can be defined with output=allhosts:filter to reduce number of lines read and showed

-       if ($QueryString =~ /output=lasthosts:([^&]+)/i)        { $FilterIn{'host'}=&DecodeEncodedString("$1"); }                       # Filter on host list can be defined with output=lasthosts:filter to reduce number of lines read and showed

-       if ($QueryString =~ /output=urldetail:([^&]+)/i)        { $FilterIn{'url'}=&DecodeEncodedString("$1"); }                        # Filter on URL list can be defined with output=urldetail:filter to reduce number of lines read and showed

-       if ($QueryString =~ /output=refererpages:([^&]+)/i)     { $FilterIn{'refererpages'}=&DecodeEncodedString("$1"); }       # Filter on referer list can be defined with output=refererpages:filter to reduce number of lines read and showed

+       if ($QueryString =~ /output=allhosts:([^&]+)/i)         { $FilterIn{'host'}="$1"; }                     # Filter on host list can be defined with output=allhosts:filter to reduce number of lines read and showed

+       if ($QueryString =~ /output=lasthosts:([^&]+)/i)        { $FilterIn{'host'}="$1"; }                     # Filter on host list can be defined with output=lasthosts:filter to reduce number of lines read and showed

+       if ($QueryString =~ /output=urldetail:([^&]+)/i)        { $FilterIn{'url'}="$1"; }                      # Filter on URL list can be defined with output=urldetail:filter to reduce number of lines read and showed

+       if ($QueryString =~ /output=refererpages:([^&]+)/i)     { $FilterIn{'refererpages'}="$1"; }     # Filter on referer list can be defined with output=refererpages:filter to reduce number of lines read and showed

 

        # If migrate

        if ($QueryString =~ /(^|-|&|&amp;)migrate=([^&]+)/i)    {

-               $MigrateStats=&Sanitize(&DecodeEncodedString("$2"));

+               $MigrateStats=&Sanitize("$2");

                $MigrateStats =~ /^(.*)$PROG(\d{0,2})(\d\d)(\d\d\d\d)(.*)\.txt$/;

                $SiteConfig=$5?$5:'xxx'; $SiteConfig =~ s/^\.//;                # SiteConfig is used to find config file

        }

@@ -5583,7 +5586,7 @@

                $QueryString .= "$NewLinkParams";

        }

 

-       $QueryString = CleanFromCSSA($QueryString);

+       $QueryString = CleanFromCSSA(&DecodeEncodedString($QueryString));

 

     # Security test

        if ($ENV{'AWSTATS_DEL_GATEWAY_INTERFACE'} && $QueryString =~ /LogFile=([^&]+)/i)        { error("Logfile parameter can't be overwritten when AWStats is used from a CGI"); }