Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

mod_security Server Output : Buffer Overflow

21/01/2007 18H05
Référence Secunia : SA10085 
Date de publication : 2003-10-29

Risque : Non Critique. Niveau 2 sur 5.
Impact : Elévation de privilèges
Lieu : Système local


Solutions :
Correctif de l'éditeur


Produit :
mod_security 1.7.x

Description :
Une vulnérabilité a été identifiée dans mod_security on Apache 2 autorisant les utilisateurs malicieux à élever leurs privilèges.

La vulnérabilité est causée du fait d'une erreur de limitation lors du traitement de output généré par le serveur. Cela pourrait être exploité en téléversant a specially crafted CGI script, qui peut permettre à l'exécution de commandes arbitraires avec les privilèges de the httpd process.

Si a remote person est capable de control the output of server side scripts, il pourrait potentiellement être exploité pour obtenir un accès au système.

La vulnérabilité a été rapportée en versions 1.7RC1 à 1.7.1 on Apache 2.


Solutions :
Mettre à jour en version 1.7.2:
http://www.modsecurity.org/download/index.html


Vulnérabilité découverte par :

Adam Dyga

Référence :
http://adsystèmes.com.pl/adg-mod_security171.txt

mod_security changelog:
http://www.modsecurity.org/download/CHANGES






Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.