Debians sikkerhedsbulletin

DSA-2506-1 libapache-mod-security -- ModSecurity-omgåelse

Rapporteret den:
2. jul 2012
Berørte pakker:
libapache-mod-security
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 678529.
I Mitres CVE-ordbog: CVE-2012-2751.
Yderligere oplysninger:

Qualys Vulnerability & Malware Research Labs opdagede en sårbarhed i ModSecurity, et sikkerhedsmodul til Apache-webserveren. I situationer, hvor både Content:Disposition: attachment og Content-Type: multipart var til stede i HTTP-headerne, kunne sårbarheden gøre det muligt for en angriber at omgå policy og gennemføre angreb i forbindelse med udførelse af skripter på tværs af websteder (XSS) gennem HTML-dokumenter udformet på den rette måde.

I den stabile distribution (squeeze), er dette problem rettet i version 2.5.12-1+squeeze1.

I distributionen testing (wheezy), er dette problem rettet i version 2.6.6-1.

I den ustabile distribution (sid), er dette problem rettet i version 2.6.6-1.

I distributionerne testing og unstable distribution er kildekodepakken blevet omdøbt til modsecurity-apache.

Vi anbefaler at du opgraderer dine libapache-mod-security-pakker.