Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2506-1 libapache-mod-security

Säkerhetsbulletin från Debian

DSA-2506-1 libapache-mod-security -- ModSecurity bypass

Rapporterat den:

2012-07-02

Berörda paket:

libapache-mod-security

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 678529.
I Mitres CVE-förteckning: CVE-2012-2751.

Ytterligare information:

Qualys Vulnerability & Malware Research Labs upptäckte en sårbarhet i ModSecurity, en säkerhetsmodul för webbservern Apache. I situationer där både Content:Disposition: attachment och Content-Type: multipart hittades i HTTP-huvuden, kunde sårbarheten tillåta en angripare att förbigå policy och köra domänöverskridande skriptangrepp (XSS) genom speciellt skapade HTML-dokument.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.5.12-1+squeeze1.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 2.6.6-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.6.6-1.

I uttestningsutgåvan och den instabila utgåvan, har källkodspaketet bytt namn till modsecurity-apache.

Vi rekommenderar att ni uppgraderar era libapache-mod-security-paket.