zurück zum Artikel

Angreifer können die Web Application Firewall über speziell präparierte HTTP-Request aus der Ferne lahm legen.

Die Entwickler der quelloffenen Web Application Firewall ModSecurity [1] haben eine Schwachstelle beseitigt [2], durch die ein Angreifer einen Absturz provozieren kann. Wird über einen speziell präparierten HTTP-Request die Action forceRequestBodyVariable mit einem unbekannten Content-Type ausgeführt, kommt es zu einer NULL-Pointer-Dereferenz.

Abhilfe schafft das Update auf Version 2.7.4. Diese beseitigt zudem einige Bugs und soll die Libinjection [3] zur Identifizierung von SQL-Injection-Angriffen verwenden können. Die Entwickler verkünden darüber hinaus, dass die nginx-Portierung [4] mit dieser Version den Status stable erreicht.

Update vom 29. Mai 2013, 18 Uhr: Entdeckt hat die DoS-Schwachstelle der Sicherheitsexperte Younes Jaaidi, der hierzu auch ein Advisory mit weiteren Details [5] und einen passenden Exploit [6] veröffentlicht hat. (rei [7])

URL dieses Artikels:
https://www.heise.de/-1872219

Links in diesem Artikel:
[1] http://www.modsecurity.org/
[2] https://raw.github.com/SpiderLabs/ModSecurity/master/CHANGES
[3] http://www.client9.com/projects/libinjection/
[4] https://www.heise.de/news/Web-Application-Firewall-ModSecurity-jetzt-auch-fuer-IIS-1655102.html
[5] http://www.shookalabs.com/#advisory-cve-2013-2765
[6] https://github.com/shookalabs/exploits/blob/master/modsecurity_cve_2013_2765_check.py
[7] mailto:rei@heise.de

Copyright © 2013 Heise Medien