検出

openSUSE セキュリティ更新:apache2-mod_security2 (openSUSE-SU-2013:1336-1)

high Nessus プラグイン ID 75112

Language:

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

- 2.7.5 への更新によるこのパッケージの完全なオーバーホール。

- 2.2.8-0-g0f07cbb への ruleset 更新。

- mod_security2 に対してプライベートな新しい構成フレームワーク: /etc/apache2/conf.d/mod_security2.conf は、 /usr/share/apache2-mod_security2/rules/modsecurity_crs_1 0_setup.conf をロードしてから、/etc/apache2/mod_security2.d/*.conf をロードします。これは、/etc/apache2/conf.d/mod_security2.conf のアドバイスに基づいたセットアップです。なお、構成の開始点は、 /etc/apache2/conf.d/mod_security2.conf となります

- !!! mod_security2 を実行するために、 mod_unique_id が必要であることに注意してください!

- modsecurity-apache_2.7.5-build_fix_pcre.diff は、誤りのあるリンカーパラメーターを変更し、共有オブジェクトで rpath を防止します。

- 以下のバグを含む修正:

- CVE-2009-5031、CVE-2012-2751 [bnc#768293] パラメーターの処理をリクエストします

- [bnc#768293] マルチパートのバイパス、マイナーな脅威

- CVE-2013-1915 [bnc#813190] XML 外部エンティティの脆弱性

- CVE-2012-4528 [bnc#789393] ルールのバイパス

- CVE-2013-2765 [bnc#822664] NULL ポインターデリファレンスのクラッシュ

- 2.5.9 から 2.7.5 への新規の内容、重要な変更のみ:

- GPLv2 を Apache ライセンス v2 で置換

- ルールはソースの tarball の一部ではありませんが、外部で上流は保持され、このパッケージに含まれます。

- ドキュメントは wiki に掲載されました。パッケージには、FAQ と html 形式の参照マニュアルが含まれています。

- 実際にハッシュを参照しているディレクティブで用語「暗号化」の名前を変更しました。詳細については、CHANGES ファイルを参照してください。

- 新しいディレクティブ SecXmlExternalEntity、デフォルトではオフ

- ロギング時に発生する s390x のバイト変換の問題が修正されました。

- Coverity のスキャナーにより発見された多数のマイナーな問題が修正されました

- 参照マニュアルを更新しました

- 一部のタイムゾーンにログインしたときに生じる誤った時間の計算が修正されました。

- 測定リクエスト/回答フェーズに対して、時間測定機構を詳細な粒度のあるものに置換されました。(ストップウォッチは互換性のために保持。)

- クッキーパーサーメモリ漏洩の修正

- マルチパートの Content-Disposition ヘッダーの引用符で囲まれた文字列の解析が修正されました。

- SDBM デッドロックの修正

- @rsub メモリ漏洩の修正

- クッキーセパレーターコードの改善

- ビルドエラーの修正

- コンパイルタイムのオプション --enable-htaccess-config(設定)

ソリューション

影響を受ける apache2-mod_security2 パッケージを更新してください。

参考資料

https://bugzilla.novell.com/show_bug.cgi?id=768293

https://bugzilla.novell.com/show_bug.cgi?id=789393

https://bugzilla.novell.com/show_bug.cgi?id=813190

https://bugzilla.novell.com/show_bug.cgi?id=822664

https://lists.opensuse.org/opensuse-updates/2013-08/msg00025.html

プラグインの詳細

深刻度: High

ID: 75112

ファイル名: openSUSE-2013-640.nasl

バージョン: 1.7

タイプ: local

エージェント: unix

公開日: 2014/6/13

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:apache2-mod_security2, p-cpe:/a:novell:opensuse:apache2-mod_security2-debuginfo, p-cpe:/a:novell:opensuse:apache2-mod_security2-debugsource, cpe:/o:novell:opensuse:12.2

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2013/8/5

参照情報

CVE: CVE-2009-5031, CVE-2012-2751, CVE-2012-4528, CVE-2013-1915, CVE-2013-2765