Lücke in der Apache-Firewall mod_security
Ein Fehler im XML Parser kann zum Stillstand des Servers oder der Preisgabe lokaler Dateien führen. mod_security 2.7.3 schließt die Lücke mit einem neuen Schalter.
Die aktuelle Version 2.7.3 des Apache-Sicherheitsmoduls mod_security beseitigt ein Sicherheitsproblem im XML Parser der Vorgänger. Wie Timur Yunusov und Alexey Osipov von Positive Technologies berichteten, konnte die Verarbeitung eines speziell präparierten XML-Dokuments lokale Dateien preis geben oder zu übermäßigem Verbrauch von Speicher und CPU-Kapazität den Server lahm legen (CVE-2013-1915).
Das Modul mod_security dient als Web Application Firewall, mit der man Zugriffe auf den Web-Server nach verschiedenen Kriterien filtern kann. Das Changelog führt als Fix einen neuen Schalter SecXmlExternalEntity auf, der standardmäßig auf OFF steht. Linux Distributoren wie Red Hat und Debian haben das Problem ebenfalls schon aufgegriffen.
Die Entdecker haben bislang kein eigenes Advisory zum Sachverhalt veröffentlicht; auf der Advisory-Seite des mod_security-Herstellers TrustWave/Spiderlabs finden sich ebenfalls nur Einträge für Produkte anderer Hersteller. (ju)
