Säkerhetsbulletin från Debian

DSA-2506-1 libapache-mod-security -- ModSecurity bypass

Rapporterat den:
2012-07-02
Berörda paket:
libapache-mod-security
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 678529.
I Mitres CVE-förteckning: CVE-2012-2751.
Ytterligare information:

Qualys Vulnerability & Malware Research Labs upptäckte en sårbarhet i ModSecurity, en säkerhetsmodul för webbservern Apache. I situationer där både Content:Disposition: attachment och Content-Type: multipart hittades i HTTP-huvuden, kunde sårbarheten tillåta en angripare att förbigå policy och köra domänöverskridande skriptangrepp (XSS) genom speciellt skapade HTML-dokument.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.5.12-1+squeeze1.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 2.6.6-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.6.6-1.

I uttestningsutgåvan och den instabila utgåvan, har källkodspaketet bytt namn till modsecurity-apache.

Vi rekommenderar att ni uppgraderar era libapache-mod-security-paket.