Positive Technologies обнаружили уязвимость в Apache/NGINX mod_security

image

Теги: Positive Technologies, уязвимость

Уязвимость позволяла получить доступ к локальным файлам или потреблять чрезмерное количество памяти или мощности процессора.

В текущей версии модуля безопасности Apache/NGINX mod_security 2.7.3 устранена уязвимость в XML анализаторе.

Согласно сообщению экспертов Тимура Юнусова и Алексея Осипова из Positive Technologies, уязвимость CVE-2013-1915 позволяла при помощи специально-подготовленного XML-документа получить доступ к локальным файлам или потреблять чрезмерное количество памяти или мощности процессора, нанося ущерб серверу.

Отметим, что модуль mod_security используется как межсетевой экран web-приложений, который позволяет фильтровать запросы к web-серверу по различным критериям. В журнале изменений исправления указан дополнительный пункт- SecXmlExternalEntity, который контролирует загрузку внешних XML-файлов с помощью библиотеки libxml2.

Учитывая тот факт, что по умолчанию новый фильтр отключен, синтаксический анализатор не будет пытаться извлечь файлы каждый раз при получении документа, ссылающегося на внешний источник.

С подробным описанием уязвимости можно ознакомиться по адресу:

http://www.securitylab.ru/vulnerability/439189.php  

Оригинал уведомления доступен по адресу:
http://www.securitylab.ru/lab/PT-2013-22

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus