Рекомендация Debian по безопасности

DSA-2506-1 libapache-mod-security -- обход ModSecurity

Дата сообщения:
02.07.2012
Затронутые пакеты:
libapache-mod-security
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 678529.
В каталоге Mitre CVE: CVE-2012-2751.
Более подробная информация:

Сотрудники Qualys Vulnerability & Malware Research Labs обнаружили уязвимость в ModSecurity, модуле безопасности для веб-сервера Apache. В ситуациях, когда в заголовках HTTP одновременно содержатся и Content:Disposition: attachment, и Content-Type: multipart, эта уязвимость может позволить злоумышленнику обойти правило и выполнить атаку через межсайтовый скриптинг (XSS) при помощи специально сформированных документов в формате HTML.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.5.12-1+squeeze1.

В тестируемом выпуске (wheezy) эта проблема была исправлена в версии 2.6.6-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.6.6-1.

В тестируемом и нестабильном выпусках пакет с исходным кодом был переименован в modsecurity-apache.

Рекомендуется обновить пакеты libapache-mod-security.