Информация по безопасности / 2013 / Информация о безопасности -- DSA-2659-1 libapache-mod-security

Рекомендация Debian по безопасности

DSA-2659-1 libapache-mod-security -- узявимость обработки внешней сущности XML

Дата сообщения:

09.04.2013

Затронутые пакеты:

libapache-mod-security

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 704625.
В каталоге Mitre CVE: CVE-2013-1915.

Более подробная информация:

Тимур Юсунов и Алексей Осипов из Positive Technologies обнаружили, что ПО для грамматического разбора файлов XML из ModSecurity, модуля Apache, чья цель связана с безопасностью веб-приложений, уязвимо для атак по принципу внешней сущности XML. Специально сформированный файл XML, переданный удалённым атакующим, при его обработке может приводить к раскрытию локального файла или чрезмерному потреблению ресурсов (процессор, память).

Данное обновление включает опцию SecXmlExternalEntity, которая выключена по умолчанию. Она отключает возможность libxml2 загрузать внешние сущности.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.5.12-1+squeeze2.

В тестируемом выпуске (wheezy) эта проблема была исправлена в версии 2.6.6-6 пакета modsecurity-apache.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.6.6-6 пакета modsecurity-apache.

Рекомендуется обновить пакеты libapache-mod-security.