Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2659-1 libapache-mod-security

Säkerhetsbulletin från Debian

DSA-2659-1 libapache-mod-security -- sårbar behandling av externa XML-enheter

Rapporterat den:

2013-04-09

Berörda paket:

libapache-mod-security

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 704625.
I Mitres CVE-förteckning: CVE-2013-1915.

Ytterligare information:

Timur Yunusov och Alexey Osipov från Positive Technologies upptäckte att XML-filtolken i ModSecurity, en Apache-modul var uppgift är att öka säkerheten i Webapplikationer, är sårbar för attacker från externa XML-enheter. En speciellt utformad XML-fil från en fjärrangripare kunde leda till avslöjande av lokala filer eller överdriven resurskonsumtion (CPU, minne) vid bearbetning.

Denna uppdatering introducerar en inställning med namn SecXmlExternalEntity vars standardinställning är Av. Detta stänger av möjligheten för libxml2 att ladda externa enheter.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 2.5.12-1+squeeze2.

För uttestningsutgåvan (Wheezy) har detta problem rättats i version 2.6.6-6 av paketet modsecurity-apache.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.6.6-6 av paketet modsecurity-apache.

Vi rekommenderar att ni uppgraderar era libapache-mod-security-paket.