Debian セキュリティ勧告

DSA-2991-1 modsecurity-apache -- セキュリティ更新

報告日時:
2014-07-27
影響を受けるパッケージ:
modsecurity-apache
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2013-5705.
詳細:

Martin Holst Swende さんが、ウェブアプリケーションのセキュリティを強化する目的の Apache モジュール ModSecurity がchunkedリクエストを処理する方法に欠陥を発見しました。 リモートの攻撃者がこの欠陥を悪用し、Transfer-Encoding HTTP ヘッダの値に大文字にしたChunkedを指定してぶつ切りの転送リクエストを送ることにより mod_security で意図した制限を迂回することが可能で、mod_security により削除されているはずの内容を収録したリクエストを送れるようになります。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 2.6.6-6+deb7u2 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題はバージョン 2.7.7-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2.7.7-1 で修正されています。

直ちに modsecurity-apache パッケージをアップグレードすることを勧めます。