漏洞信息详情
Mod_Security ASCIIZ字节绕过安全限制漏洞
- CNNVD编号:CNNVD-200703-271
- 危害等级: 低危
- CVE编号: CVE-2007-1359
- 漏洞类型: 输入验证
- 发布时间: 2007-03-08
- 威胁类型: 远程
- 更新时间: 2007-03-09
- 厂 商: mod_security
- 漏洞来源: Stefan Esser※ s.es...
漏洞简介
mod_security是经常与PHP结合使用的Web应用防火墙。
mod_security在处理特定的HTTP数据时存在漏洞,远程攻击者可能利用此漏洞绕过某些安全限制。
在接收到请求后mod_security会将其解析成为Web应用参数。由于解析入站数据的方式遵循RFC中所定义的规则而不一定是Perl、Python、Java或PHP中的HTTP请求解析器所兼容的方式,因此如果RFC与实际实现方式不匹配时可能存在一些限制绕过漏洞。
其中一种不匹配情况是处理application/x-www-form-urlencoded内容类型的POST数据中ASCIIZ字节的方式。由于mod_security将这种类似的POST数据处理为C字符串,因此不会对第一个ASCIIZ字节后的数据进行任何处理,因为mod_security认为这已是数据的尽头。这允许攻击者轻易的绕过规则限制,攻击受保护的站点。
漏洞公告
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.modsecurity.org/index.php
参考网址
来源: XF 名称: modsecurity-formurlencoded-security-bypass(32872) 链接:http://xforce.iss.net/xforce/xfdb/32872 来源: BID 名称: 22831 链接:http://www.securityfocus.com/bid/22831 来源: MISC 链接:http://www.php-security.org/MOPB/BONUS-12-2007.HTML 来源: OSVDB 名称: 32778 链接:http://www.osvdb.org/32778 来源: www.modsecurity.org 链接:http://www.modsecurity.org/blog/archives/2007/03/modsecurity_asc.HTML 来源: GENTOO 名称: GLSA-200705-17 链接:http://www.gentoo.org/security/en/glsa/glsa-200705-17.xml 来源: VUPEN 名称: ADV-2007-0868 链接:http://www.frsirt.com/english/advisories/2007/0868 来源: SECUNIA 名称: 25316 链接:http://secunia.com/advisories/25316 来源: SECUNIA 名称: 24373 链接:http://secunia.com/advisories/24373 来源: www.oracle.com 链接:http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2008.HTML 来源: VUPEN 名称: ADV-2008-2115 链接:http://www.frsirt.com/english/advisories/2008/2115 来源: VUPEN 名称: ADV-2008-2109 链接:http://www.frsirt.com/english/advisories/2008/2109/references 来源: SECUNIA 名称: 31113 链接:http://secunia.com/advisories/31113 来源: SECUNIA 名称: 31087 链接:http://secunia.com/advisories/31087 来源: HP 名称: HPSBMA02133 链接:http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c00727143
受影响实体
- Mod_security Mod_security:2.1
- Mod_security Mod_security:1.7.5
- Mod_security Mod_security:1.9.4
- Mod_security Mod_security:1.7.4
- Mod_security Mod_security:1.7.2
补丁
暂无
评论