Отказ в обслуживании в ModSecurity

Дата публикации:
12.03.2009
Дата изменения:
24.03.2009
Всего просмотров:
1810
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Отказ в обслуживании
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
ModSecurity 2.x
Уязвимые версии: ModSecurity версии до 2.5.9

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести DoS атаку.

1. Уязвимость существует из-за ошибки в реализации защиты от PDF XSS. Удаленный пользователь может с помощью специально сформированного HTTP запроса аварийно завершить работу приложения. По умолчанию защита от PDF XSS отключена.

2. Уязвимость существует из-за ошибки разыменования нулевого указателя при обработке multipart запросов. Удаленный пользователь может с помощью multipart данных, не содержащих заголовок одной из частей, аварийно завершить работу приложения.

URL производителя: www.modsecurity.org

Решение: Установите последнюю версию 2.5.9 с сайта производителя.

Журнал изменений:

24.03.2009
Изменено описание уязвимости #2.

Ссылки: http://sourceforge.net/project/shownotes.php?release_id=667538
http://sourceforge.net/project/shownotes.php?release_id=667542
http://lists.grok.org.uk/pipermail/full-disclosure/2009-March/068467.html

или введите имя

CAPTCHA