セキュリティ情報 / 2012 / セキュリティ情報 -- DSA-2506-1 libapache-mod-security

Debian セキュリティ勧告

DSA-2506-1 libapache-mod-security -- ModSecurity の迂回

報告日時:

2012-07-02

影響を受けるパッケージ:

libapache-mod-security

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 678529.
Mitre の CVE 辞書: CVE-2012-2751.

詳細:

Qualys Vulnerability & Malware Research Labs 社により、 Apache ウェブサーバのセキュリティモジュール ModSecurity に欠陥が発見されました。Content:Disposition: attachment および Content-Type: multipart の両方が HTTP ヘッダで有効になっている状況下で、この欠陥を細工した HTML 文書により攻撃することにより、クロスサイトスクリプティング攻撃が可能です。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 2.5.12-1+squeeze1 で修正されています。

テスト版ディストリビューション (wheezy) では、この問題はバージョン 2.6.6-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2.6.6-1 で修正されています。

テスト版および不安定版ディストリビューションでは、ソースパッケージは modsecurity-apache に名称変更されています。

直ぐに libapache-mod-security パッケージをアップグレードすることを勧めます。