Bulletin d'alerte Debian

DSA-2506-1 libapache-mod-security -- Contournement de ModSecurity

Date du rapport :
2 juillet 2012
Paquets concernés :
libapache-mod-security
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 678529.
Dans le dictionnaire CVE du Mitre : CVE-2012-2751.
Plus de précisions :

Qualys Vulnerability & Malware Research Labs a découvert une vulnérabilité dans ModSecurity, un module de sécurité pour le serveur web Apache. Dans des situations où Content:Disposition: attachment et Content-Type: multipart sont tous deux présents dans les en-têtes HTTP, la vulnérabilité pourrait permettre à un attaquant de contourner les règles et exécuter des attaques par script intersite (XSS) à l'aide de documents HTML correctement contrefaits.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.5.12-1+squeeze1.

Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 2.6.6-1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.6.6-1.

Dans les distributions testing et unstable, le paquet source a été renommé en modsecurity-apache.

Nous vous recommandons de mettre à jour vos paquets libapache-mod-security.