Positive Technologies の Timur Yunusov 氏と Alexey Osipov 氏は、ModSecurity の XML ファイルパーサーが XML 外部エンティティの攻撃に脆弱であることを発見しました。ModSecurityは、Web アプリケーションセキュリティを強化する目的の Apache モジュールです。リモートの攻撃者が提供する特別に細工された XML ファイルにより、このファイルが処理されるときに、ローカルファイル漏洩または過剰なリソース（CPU、メモリ）消費が引き起こされる可能性があります。

この更新は、デフォルトで「オフ」になっている SecXmlExternalEntity オプションを導入します。これは、libxml2 の外部エンティティをロードする機能を無効にします。

検出

Debian DSA-2659-1：libapache-mod-security - XML 外部エンティティ処理の脆弱性

high Nessus プラグイン ID 65921

変更ログが見つかりません