—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
Mehrere Schwachstellen in mod_security
Das Apache Modul ModSecurity enthaelt mehrere Schwachstellen die sich
fuer Denial of Service Angriffe ausnutzen lassen. Ein Angreifer kann
durch praeparierte HTTP-Requests einen Absturz der Anwendung
ausnutzen, indem er einen Multipart HTTP-Request mit manipulierten
Header-Bezeichnungen an den Webserver schickt. Ist der Angriff auf das
Apache-Modul erfolgreich, stuerzt auch der Apache-Prozess ab, was dazu
fuehrt, dass eventuell keine Anfragen mehr durch den Webserver
beantwortet werden koennen.
Eine weitere Schwachstelle existiert im PDF-XSS-Modul. Wenn das Modul
akitiviert ist kann ein Angreifer ueber einen manipulierten
HTTP-Request auf ein PDF einen Absturz des Moduls ausloesen. Da das
PDF-XSS-Modul in der Standardkonfiguration deaktiviert ist, sind nur
Installationen von dieser Schwachstelle betroffen, in denen das Modul
explizit aktiviert wurde.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket mod_security
Fedora 9
Fedora 10
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-March/msg00529.html
https://www.redhat.com/archives/fedora-package-announce/2009-March/msg00487.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —
Michael Groening (Incident Response Team), +49 40 808077-555
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
16. DFN-Workshop Sicherheit in vernetzten Systemen
https://www.dfn-cert.de/ws2009/
– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-2654
2009-03-13 18:03:29
– ——————————————————————————–
Name : mod_security
Product : Fedora 9
Version : 2.5.9
Release : 1.fc9
URL : http://www.modsecurity.org/
Summary : Security module for the Apache HTTP Server
Description :
ModSecurity is an open source intrusion detection and prevention engine
for web applications. It operates embedded into the web server, acting
as a powerful umbrella – shielding web applications from attacks.
– ——————————————————————————–
Update Information:
Security fixes for potential denials of service when using PDF XSS protection as
well as when parsing multipart requests.
http://sourceforge.net/project/shownotes.php?release_id=667542&group_id=68846
– ——————————————————————————–
ChangeLog:
* Thu Mar 12 2009 Michael Fleming
– – Update to upstream release 2.5.9
– – Fixes potential DoS’ in multipart request and PDF XSS handling
* Mon Dec 29 2008 Michael Fleming
– – Update to upstream 2.5.7
– – Reinstate mlogc
* Sat Aug 2 2008 Michael Fleming
– – Update to upstream 2.5.6
– – Remove references to mlogc, it no longer ships in the main tarball.
– – Link correctly vs. libxml2 and lua (bz# 445839)
– – Remove bogus LoadFile directives as they’re no longer needed.
* Sun Apr 13 2008 Michael Fleming
– – Update to upstream 2.1.7
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update mod_security’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFJvnxqk0kIxZMiiQ8RAnXkAKDNmza+wb4E7eVNEqBeUy10ScqMagCggLyU
xyuvYlCst+lzF0/EViRkKNs=
=VhLk
—–END PGP SIGNATURE—–
