Säkerhetsbulletin från Debian

DSA-2991-1 modsecurity-apache -- säkerhetsuppdatering

Rapporterat den:
2014-07-27
Berörda paket:
modsecurity-apache
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-5705.
Ytterligare information:

Martin Holst Swende upptäckte en brist i sättet som ihopklumpade förfrågningar hanteras i ModSecurity, en Apachemodul vars ändamål är att förbättra webbapplikationens säkerhet. En fjärrangripare kunde använda denna brist för att förbigå avsedda mod_security-begränsningar genom att använda ihopklumpad överföringskodning med ett aktiverat Chunked-värde i HTTP-huvudet Transfer-Encoding, vilket tillåter att skicka förfrågningar som med innehåll som skulle tagits bort av mod_security.

För den stabila utgåvan (Wheezy) har detta problem rättats i version 2.6.6-6+deb7u2.

För uttestningsutgåvan (Jessie) har detta problem rättats i version 2.7.7-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.7.7-1.

Vi rekommenderar att ni uppgraderar era modsecurity-apache-paket.