JVNDB-2007-001180

ModSecurity におけるリクエストルールを回避される脆弱性

ModSecurity (mod_security) には、ASCIIZ (0x00) バイトを含む application/x-www-form-urlencoded POST データの取り扱いに不備があり、リクエストルールを回避される脆弱性が存在します。

ModSecurity

• ModSecurity v2.1.1 未満

オラクル

• Oracle Application Server 10.1.2.3
• Oracle Application Server 10.1.3.3

第三者にリクエストルールを回避され、さらなる攻撃に利用される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

ModSecurity

• ModSecurity Blog : ModSecurity ASCIIZ Evasion

オラクル

• Critical Patch Updates and Security Alerts : Oracle Critical Patch Update Advisory - July 2008
• オラクル・セキュリティ・アラート : Oracle Critical Patch Update Advisory - July 2008

1. 情報不足(CWE-noinfo) [NVD評価]

1. CVE-2007-1359

1. JVN Status Tracking Notes : TRJVN-2008-03
2. National Vulnerability Database (NVD) : CVE-2007-1359
3. Secunia Advisory : SA24373
4. Secunia Advisory : SA31087
5. SecurityFocus : 22831
6. ISS X-Force Database : 32872
7. SecurityTracker : 1020494
8. FrSIRT Advisories : FrSIRT/ADV-2007-0868
9. FrSIRT Advisories : FrSIRT/ADV-2008-2109
10. OPEN SOURCE VULNERABILITY DATABASE (OSVDB) : 32778

• [2008年08月11日]
    掲載