• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-2991-1 modsecurity-apache -- обновление безопасности

Главная Специалистам База уязвимостей DSA-2991-1 modsecurity-apache -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
Описание
Мартин Холст Свенде обнаружил проблему, возникающую при обработке фрагментированных запросов
в ModSecurity, модуле Apache, целью которого является улучшение
безопасности веб-приложений. Удалённый злоумышленник может использовать данную уязвимость
для обхода ограничений mod_security, используя фрагментированную передачу,
содержащую фрагментированное значение в заголовке Transfer-Encoding HTTP,
записанное с заглавной буквы, что позволяет отправлять запросы, содержащие то, что должно было бы
быть удалено модулем mod_security.
В стабильном выпуске (wheezy) эта проблема была исправлена в
версии 2.6.6-6+deb7u2.
В тестируемом выпуске (jessie) эта проблема была исправлена в
версии 2.7.7-1.
В нестабильном выпуске (sid) эта проблема была исправлена в
версии 2.7.7-1.
Рекомендуется обновить пакеты modsecurity-apache.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
modsecurity-apache - 2.6.6-6+deb7u2
Ссылки
http://www.debian.org/security/dsa-2991/

Источник: CVE
Наименование: CVE-2013-5705
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5705