2.7.3 に更新してください。Upstream 変更ログ：
https://github.com/SpiderLabs/ModSecurity/blob/master/CHANGES

注意：Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

Positive Technologies の Timur Yunusov 氏と Alexey Osipov 氏は、ModSecurity の XML ファイルパーサーが XML 外部エンティティの攻撃に脆弱であることを発見しました。ModSecurityは、Web アプリケーションセキュリティを強化する目的の Apache モジュールです。リモートの攻撃者が提供する特別に細工された XML ファイルにより、このファイルが処理されるときに、ローカルファイル漏洩または過剰なリソース（CPU、メモリ）消費が引き起こされる可能性があります。

この更新は、デフォルトで「オフ」になっている SecXmlExternalEntity オプションを導入します。これは、libxml2 の外部エンティティをロードする機能を無効にします。

バナーによると、リモートホストにインストールされている ModSecurity のバージョンは 2.7.3 より前です。このため、ファイル漏洩の脆弱性による影響を受ける可能性があります。不適切に設定された XML パーサーによって、外部ソースからの信頼できない XML エンティティが受け入れられ、任意のファイルの漏洩につながる可能性があります。

また、内部ネットワークサーバーが、認証されていないリクエストを受け取る可能性もあります。さらに、サービス拒否の状態が発生する可能性もあります。

Nessus はこの問題をテストしていませんが、その代わりにサーバーのバナーのバージョンだけに依存していることに、注意してください。

apache-mod_security で次の脆弱性が見つかり、修正されました：

2.7.3 より前の ModSecurity では、リモートの攻撃者が任意のファイルを読み込み、イントラネットのサーバーに HTTP リクエストを送信することができ、エンティティー参照を XML 外部エンティティー宣言と組み合わせること（すなわち XML 外部エンティティ（XXE）の脆弱性）を通じて、サービス拒否（CPU またはメモリ消費）を引き起こす可能性があります（CVE-2013-1915）。

この問題を修正する更新済みパッケージが適用されています。

- 2.7.5 への更新によるこのパッケージの完全なオーバーホール。

- 2.2.8-0-g0f07cbb への ruleset 更新。

- mod_security2 に対してプライベートな新しい構成フレームワーク： /etc/apache2/conf.d/mod_security2.conf は、 /usr/share/apache2-mod_security2/rules/modsecurity_crs_1 0_setup.conf をロードしてから、/etc/apache2/mod_security2.d/*.conf をロードします。これは、/etc/apache2/conf.d/mod_security2.conf のアドバイスに基づいたセットアップです。なお、構成の開始点は、 /etc/apache2/conf.d/mod_security2.conf となります

- !!! mod_security2 を実行するために、 mod_unique_id が必要であることに注意してください!

- modsecurity-apache_2.7.5-build_fix_pcre.diff は、誤りのあるリンカーパラメーターを変更し、共有オブジェクトで rpath を防止します。

- 以下のバグを含む修正：

- CVE-2009-5031、CVE-2012-2751 [bnc#768293] パラメーターの処理をリクエストします

- [bnc#768293] マルチパートのバイパス、マイナーな脅威

- CVE-2013-1915 [bnc#813190] XML 外部エンティティの脆弱性

- CVE-2012-4528 [bnc#789393] ルールのバイパス

- CVE-2013-2765 [bnc#822664] NULL ポインターデリファレンスのクラッシュ

- 2.5.9 から 2.7.5 への新規の内容、重要な変更のみ：

- GPLv2 を Apache ライセンス v2 で置換

- ルールはソースの tarball の一部ではありませんが、外部で上流は保持され、このパッケージに含まれます。

- ドキュメントは wiki に掲載されました。パッケージには、FAQ と html 形式の参照マニュアルが含まれています。

- 実際にハッシュを参照しているディレクティブで用語「暗号化」の名前を変更しました。詳細については、CHANGES ファイルを参照してください。

- 新しいディレクティブ SecXmlExternalEntity、デフォルトではオフ

- ロギング時に発生する s390x のバイト変換の問題が修正されました。

- Coverity のスキャナーにより発見された多数のマイナーな問題が修正されました

- 参照マニュアルを更新しました

- 一部のタイムゾーンにログインしたときに生じる誤った時間の計算が修正されました。

- 測定リクエスト/回答フェーズに対して、時間測定機構を詳細な粒度のあるものに置換されました。（ストップウォッチは互換性のために保持。）

- クッキーパーサーメモリ漏洩の修正

- マルチパートの Content-Disposition ヘッダーの引用符で囲まれた文字列の解析が修正されました。

- SDBM デッドロックの修正

- @rsub メモリ漏洩の修正

- クッキーセパレーターコードの改善

- ビルドエラーの修正

- コンパイルタイムのオプション --enable-htaccess-config（設定）

リモートの Solaris システムに、次のセキュリティの更新に対処するのに必要なパッチがありません：

2.6.6 より前の ModSecurity を PHP で使用するとき、multipart/form-data Content-Type ヘッダーを使用したリクエストの Content-Disposition フィールド内のリクエストパラメーター値の始めのシングルクォートの処理が不適切なため、リモートの攻撃者はフィルタリングルールをバイパスし、クロスサイトスクリプティング（XSS）攻撃などその他の攻撃を実行する可能性があります。注：この脆弱性は、 CVE-2009-5031 の修正が不完全なために存在します。(CVE-2012-2751)

- 2.7.3 より前の ModSecurity では、リモートの攻撃者が任意のファイルを読み込み、イントラネットのサーバーに HTTP リクエストを送信することができ、エンティティー参照を XML 外部エンティティー宣言と組み合わせること（すなわち XML 外部エンティティ（XXE）の脆弱性）を通じて、サービス拒否（CPU またはメモリ消費）を引き起こす可能性があります。(CVE-2013-1915)

Positive Technologies は、悪意のある者によって悪用されることで潜在的な機密情報を漏洩させられたり、DoS（サービス拒否）を引き起こされる可能性がある ModSecurity の脆弱性を報告しました。

この脆弱性は、外部 XML エンティティを解析しているときのエラーによって引き起こされ、悪用されることで、例えばローカルファイルを漏洩させられたり、過剰なメモリおよび CPU 消費を引き起こされる可能性があります。

。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
66162	Fedora 19：mod_security-2.7.3-1.fc19（2013-4908）	Nessus	Fedora Local Security Checks	2013/4/22	2021/1/11	high
65921	Debian DSA-2659-1：libapache-mod-security - XML 外部エンティティ処理の脆弱性	Nessus	Debian Local Security Checks	2013/4/11	2021/1/11	high
67127	ModSecurity < 2.7.3 XML 外部エンティティ（XXE）データ解析の任意のファイルの漏洩	Nessus	Firewalls	2013/7/2	2022/4/11	high
66266	Mandriva Linux セキュリティアドバイザリ：apache-mod_security（MDVSA-2013：156）	Nessus	Mandriva Local Security Checks	2013/4/30	2021/1/6	high
75112	openSUSE セキュリティ更新：apache2-mod_security2 （openSUSE-SU-2013:1336-1）	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	high
65962	Fedora 17：mod_security-2.7.3-1.fc17（2013-4834）	Nessus	Fedora Local Security Checks	2013/4/14	2021/1/11	high
80704	Oracle Solaris サードパーティパッチの更新：modsecurity（cve_2012_2751_improper_input）	Nessus	Solaris Local Security Checks	2015/1/19	2021/1/14	high
65961	Fedora 18：mod_security-2.7.3-1.fc18（2013-4831）	Nessus	Fedora Local Security Checks	2013/4/14	2021/1/11	high
65989	FreeBSD：ModSecurity -- XML 外部エンティティ処理の脆弱性（2070c79a-8e1e-11e2-b34d-000c2957946c）	Nessus	FreeBSD Local Security Checks	2013/4/17	2021/1/6	high
75113	openSUSE セキュリティ更新：apache2-mod_security2 （openSUSE-SU-2013:1331-1）	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	high

検出

プラグインの検索

high

high

high

high

high

high

high

high

high

high