Мой сайт

Статистика


Онлайн всего: 1
Гостей: 1
Пользователей: 0

Форма входа

Главная » 2013 » Май » 11 » Positive Technologies обнаружили уязвимость в Apache/NGINX mod_security
12:24
Positive Technologies обнаружили уязвимость в Apache/NGINX mod_security
В текущей версии модуля безопасности Apache/NGINX mod_security 2.7.3 устранена уязвимость в XML анализаторе.

Согласно сообщению экспертов Тимура Юнусова и Алексея Осипова из Positive Technologies, уязвимость CVE-2013-1915 позволяла при помощи специально-подготовленного XML-документа получить доступ к локальным файлам или потреблять чрезмерное количество памяти или мощности процессора, нанося ущерб серверу.

Отметим, что модуль mod_security используется как межсетевой экран web-приложений, который позволяет фильтровать запросы к web-серверу по различным критериям. В журнале изменений исправления указан дополнительный пункт- SecXmlExternalEntity, который контролирует загрузку внешних XML-файлов с помощью библиотеки libxml2.

Учитывая тот факт, что по умолчанию новый фильтр отключен, синтаксический анализатор не будет пытаться извлечь файлы каждый раз при получении документа, ссылающегося на внешний источник.

С подробным описанием уязвимости можно ознакомиться по адресу:

http://www.securitylab.ru/vulnerability/439189.php  

Оригинал уведомления доступен по адресу:

http://www.securitylab.ru/lab/PT-2013-22

Источник
Просмотров: 53 | Добавил: tux | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]

Поиск

Календарь

«  Май 2013  »
ПнВтСрЧтПтСбВс
  12345
6789101112
13141516171819
20212223242526
2728293031

Архив записей

Друзья сайта

  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz