Debian セキュリティ勧告

DLA-34-1 libapache-mod-security -- LTS セキュリティ更新

報告日時:
2014-08-09
影響を受けるパッケージ:
libapache-mod-security
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2013-5705.
詳細:

Martin Holst Swende さんが、mod_security がchunkedリクエストを処理する方法に欠陥を発見しました。 リモートの攻撃者がこの欠陥を悪用し、 mod_security で意図した制限を迂回することが可能で、mod_security により削除されているはずの内容を収録したリクエストを送れるようになります。

Debian 6Squeezeでは、この問題は libapache-mod-security バージョン 2.5.12-1+squeeze4 で修正されています。