Bulletin d'alerte Debian

DSA-2991-1 modsecurity-apache -- Mise à jour de sécurité

Date du rapport :
27 juillet 2014
Paquets concernés :
modsecurity-apache
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-5705.
Plus de précisions :

Martin Holst Swende a découvert un défaut dans la manière dont sont gérées les requêtes en bloc dans ModSecurity, un module d'Apache dont le but est de renforcer la sécurité de l'application Web. Un attaquant distant pourrait utiliser ce défaut pour contourner les restrictions voulues de mod_security en utilisant l'encodage de transfert en bloc avec une valeur Chunked en majuscule dans l'en-tête HTTP Transfer-Encoding, autorisant l'envoi de requêtes renfermant certain contenu qui aurait dû être retiré par mod_security.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2.6.6-6+deb7u2.

Pour la distribution testing (Jessie), ce problème a été corrigé dans la version 2.7.7-1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.7.7-1.

Nous vous recommandons de mettre à jour vos paquets modsecurity-apache.