Debian セキュリティ勧告
DLA-34-1 libapache-mod-security -- LTS セキュリティ更新
- 報告日時:
- 2014-08-09
- 影響を受けるパッケージ:
- libapache-mod-security
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2013-5705.
- 詳細:
-
Martin Holst Swende さんが、mod_security が
chunked
リクエストを処理する方法に欠陥を発見しました。 リモートの攻撃者がこの欠陥を悪用し、 mod_security で意図した制限を迂回することが可能で、mod_security により削除されているはずの内容を収録したリクエストを送れるようになります。Debian 6
Squeeze
では、この問題は libapache-mod-security バージョン 2.5.12-1+squeeze4 で修正されています。