Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2659-1 libapache-mod-security

Bulletin d'alerte Debian

DSA-2659-1 libapache-mod-security -- Vulnérabilité du traitement d'entités externes XML

Date du rapport :

9 avril 2013

Paquets concernés :

libapache-mod-security

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 704625.
Dans le dictionnaire CVE du Mitre : CVE-2013-1915.

Plus de précisions :

Timur Yunusov et Alexey Osipov de Positive Technologies ont découvert que l'analyseur de fichiers XML de ModSecurity, un module Apache dont le but est de renforcer la sécurité des applications web, est vulnérable à des attaques par entités externes XML. Un fichier XML contrefait pour l'occasion fourni par un attaquant distant pourrait conduire à la divulgation de fichiers locaux ou à la consommation excessive de ressources (processeur, mémoire) lors du traitement.

Cette mise à jour ajoute une option SecXmlExternalEntity réglée à Off par défaut qui va désactiver la capacité de libxml2 de charger les entités externes.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.5.12-1+squeeze2.

Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 2.6.6-6 du paquet modsecurity-apache.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.6.6-6 du paquet modsecurity-apache.

Nous vous recommandons de mettre à jour vos paquets libapache-mod-security.