Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2506-1 libapache-mod-security

Debians sikkerhedsbulletin

DSA-2506-1 libapache-mod-security -- ModSecurity-omgåelse

Rapporteret den:

2. jul 2012

Berørte pakker:

libapache-mod-security

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 678529.
I Mitres CVE-ordbog: CVE-2012-2751.

Yderligere oplysninger:

Qualys Vulnerability & Malware Research Labs opdagede en sårbarhed i ModSecurity, et sikkerhedsmodul til Apache-webserveren. I situationer, hvor både Content:Disposition: attachment og Content-Type: multipart var til stede i HTTP-headerne, kunne sårbarheden gøre det muligt for en angriber at omgå policy og gennemføre angreb i forbindelse med udførelse af skripter på tværs af websteder (XSS) gennem HTML-dokumenter udformet på den rette måde.

I den stabile distribution (squeeze), er dette problem rettet i version 2.5.12-1+squeeze1.

I distributionen testing (wheezy), er dette problem rettet i version 2.6.6-1.

I den ustabile distribution (sid), er dette problem rettet i version 2.6.6-1.

I distributionerne testing og unstable distribution er kildekodepakken blevet omdøbt til modsecurity-apache.

Vi anbefaler at du opgraderer dine libapache-mod-security-pakker.