Рекомендация Debian по безопасности

DSA-2991-1 modsecurity-apache -- обновление безопасности

Дата сообщения:
27.07.2014
Затронутые пакеты:
modsecurity-apache
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2013-5705.
Более подробная информация:

Мартин Холст Свенде обнаружил проблему, возникающую при обработке фрагментированных запросов в ModSecurity, модуле Apache, целью которого является улучшение безопасности веб-приложений. Удалённый злоумышленник может использовать данную уязвимость для обхода ограничений mod_security, используя фрагментированную передачу, содержащую фрагментированное значение в заголовке Transfer-Encoding HTTP, записанное с заглавной буквы, что позволяет отправлять запросы, содержащие то, что должно было бы быть удалено модулем mod_security.

В стабильном выпуске (wheezy) эта проблема была исправлена в версии 2.6.6-6+deb7u2.

В тестируемом выпуске (jessie) эта проблема была исправлена в версии 2.7.7-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.7.7-1.

Рекомендуется обновить пакеты modsecurity-apache.