JVNDB-2012-003265

ModSecurity におけるフィルタリングルールを回避される脆弱性

ModSecurity は、PHP で使用する場合、multipart/form-data Content-Type ヘッダを伴うリクエストの Content-Disposition フィールドに含まれるリクエストパラメータの値の先頭のシングルクォートを適切に処理しないため、フィルタリングルールを回避される、およびクロスサイトスクリプティング (XSS) 攻撃などその他の攻撃を実行される脆弱性が存在します。

本脆弱性は、CVE-2009-5031 に対する修正が不十分だったことによる脆弱性です。

ModSecurity

• ModSecurity 2.6.6 未満

オラクル

• Oracle HTTP Server 11.1.1.6.0

第三者により、フィルタリングルールを回避される、およびクロスサイトスクリプティング (XSS) 攻撃などその他の攻撃を実行される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Debian

• Debian セキュリティ勧告 : DSA-2506-1

Mandriva, Inc.

• Security Advisories : MDVSA-2012:118

ModSecurity

• ModSecurity : 2.6.x/CHANGES
• ModSecurity : Top Page
• SourceForge : SCM Repositories - mod-security_CHANGES
• SourceForge : SCM Repositories - mod-security_msc_multipart.c

オラクル

• Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - April 2013
• Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - April 2013 Risk Matrices
• SECURITY BLOG : April 2013 Critical Patch Update Released
• SECURITY BLOG : CVE-2012-2751 Improper Input Validation vulnerability in ModSecurity

1. 不適切な入力確認(CWE-20) [NVD評価]

1. CVE-2012-2751

1. National Vulnerability Database (NVD) : CVE-2012-2751

• [2012年07月24日]
    掲載
  [2012年08月10日]
    ベンダ情報：Mandriva, Inc. (MDVSA-2012:118) を追加
  [2013年04月19日]
    影響を受けるシステム：オラクル (Oracle Critical Patch Update Advisory - April 2013) の情報を追加
    ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - April 2013) を追加
    ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - April 2013 Risk Matrices) を追加
    ベンダ情報：オラクル (April 2013 Critical Patch Update Released) を追加
  [2014年08月11日]
    ベンダ情報：オラクル (CVE-2012-2751 Improper Input Validation vulnerability in ModSecurity) を追加