GLSA 200907-02: ModSecurity: Denial of Service
| Опасность: | средняя |
| Заголовок: | ModSecurity: Denial of Service |
| Дата: | 02.07.2009 |
| Ошибки: | |
| ID: | 200907-02 |
Сводка
Two vulnerabilities in ModSecurity might lead to a Denial of Service.Назначение
ModSecurity is a popular web application firewall for the Apache HTTP server.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| www-apache/mod_security | < 2.5.9 | >= 2.5.9 | All supported architectures |
Описание
Multiple vulnerabilities were discovered in ModSecurity:
- Juan Galiana Lara of ISecAuditors discovered a NULL pointer dereference when processing multipart requests without a part header name (CVE-2009-1902).
- Steve Grubb of Red Hat reported that the "PDF XSS protection" feature does not properly handle HTTP requests to a PDF file that do not use the GET method (CVE-2009-1903).
Воздействие
A remote attacker might send requests containing specially crafted multipart data or send certain requests to access a PDF file, possibly resulting in a Denial of Service (crash) of the Apache HTTP daemon. NOTE: The PDF XSS protection is not enabled by default.
Обход
There is no known workaround at this time.
Решение
All ModSecurity users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=www-apache/mod_security-2.5.9"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.