Positive Technologies 的 Timur Yunusov 和 Alexey Osipov 發現，ModSecurity (用於加強 Web 應用程式安全性的 Apache 模組) 的 XML 檔案剖析器容易遭受 XML 外部實體攻擊。遠端攻擊者提供的特製 XML 檔案，可在處理時，導致本機檔案洩漏或過度資源 (CPU、記憶體) 消耗。

此更新引入了一個 SecXmlExternalEntity 選項，其預設為「關閉」。這將停用 libxml2 載入外部實體的功能。

2.7.3 的更新。上游變更記錄：
https://github.com/SpiderLabs/ModSecurity/blob/master/CHANGES

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

在 apache-mod_security 中發現一個弱點並已更正：

2.7.3 版之前的 ModSecurity 允許遠端攻擊者透過含有實體參照的 XML 外部實體宣告，讀取任意檔案、傳送 HTTP 要求至內部網路伺服器，或是造成拒絕服務 (CPU 和記憶體消耗)，即所謂的 XML 外部實體 (XXE) 弱點 (CVE-2013-1915)。

已修補更新版套件，以更正此問題。

根據其標題，遠端主機上安裝的 ModSecurity 版本比 2.7.3 舊。因此可能受到一個檔案洩漏弱點影響。有一個不當設定的 XML 剖析器，其可允許接受外部來源不受信任的 XML 實體，從而可能導致任意檔案洩漏。

其亦可能導致內部網路伺服器接收未經授權的要求。也有可能發生拒絕服務情形。

請注意，Nessus 並未測試此問題，而是僅依據伺服器標題上的版本。

遠端 Solaris 系統缺少處理安全性更新的必要修補程式：

  - 搭配 PHP 使用時，2.6.6 版之前的 ModSecurity 未正確處理單引號 (單引號的位置不在含有 multipart/form-data Content-Type 標頭的要求內 Content-Disposition 欄位的要求參數值開頭)，進而允許遠端攻擊者繞過篩選規則並執行其他攻擊 (如跨網站指令碼 (XSS) 攻擊)。注意：此弱點是 CVE-2009-5031 的修正不完整所致。(CVE-2012-2751)

  - 2.7.3 版之前的 ModSecurity 允許遠端攻擊者透過含有實體參照的 XML 外部實體宣告，讀取任意檔案、傳送 HTTP 要求至內部網路伺服器，或是造成拒絕服務 (CPU 和記憶體消耗)，即所謂的 XML 外部實體 (XXE) 弱點。(CVE-2013-1915)

- 2.7.5 版更新的套件全面檢修。

- 2.2.8-0-g0f07cbb 規則集更新。

- mod_security2 的新私人組態架構：
/etc/apache2/conf.d/mod_security2.conf 依序載入 /usr/share/apache2-mod_security2/rules/modsecurity_crs_1 0_setup.conf 和 /etc/apache2/mod_security2.d/*.conf，如同在 /etc/apache2/conf.d/mod_security2.conf 中根據建議進行設定。您的組態起始點為 /etc/apache2/conf.d/mod_security2.conf

- !!! 請注意，mod_security2 執行時需要 mod_unique_id！

- modsecurity-apache_2.7.5-build_fix_pcre.diff 變更錯誤的連結器參數，避免共用物件中出現 rpath。

- 針對以下錯誤的修正：

- CVE-2009-5031、CVE-2012-2751 [bnc#768293] 要求參數處理

- [bnc#768293] 多重繞過，次要威脅

- CVE-2013-1915 [bnc#813190] XML 外部實體弱點

- CVE-2012-4528 [bnc#789393] 規則繞過

- CVE-2013-2765 [bnc#822664] NULL 指標解除參照損毀

- 2.5.9 至 2.7.5 為新增，只有重大變更：

- GPLv2 由 Apache License v2 取代

- 規則不再屬於來源 tarball，但在外部仍保持上游並包含在此套件中。

- 文件已經移至外部的 wiki。套件包含 html 表單格式的 FAQ 和參照手冊。

- 重新命名指示詞中實際指涉雜湊的字詞‘Encryption’。如需更多詳情，請見「變更」檔案。

- 新指示詞 SecXmlExternalEntity，預設關閉

- 修正登入時的 s390x 位元組轉換問題。

- 修正 Coverity 掃描程式發現的多個小問題

- 已更新參照手冊

- 修正登入某些時區時的時間計算錯誤。

- 針對測量的要求/回答階段，取代細微度較好的時間測量機制。(碼錶維持精簡。)

- cookie 剖析器記憶體洩漏修正

- 修正 multipart Content-Disposition 標頭的引用字串剖析。

- SDBM 鎖死修正

- @rsub 記憶體洩漏修正

- cookie 分隔符號程式碼改善

- 構建失敗修正

- 編譯時間選項 --enable-htaccess-config (set)

Positive Technologies 報告 ModSecurity 中有一個弱點，惡意人士可惡意利用此弱點洩漏潛在的敏感資訊，或造成 DoS (拒絕服務)。

此弱點是因為剖析外部 XML 實體時的一個錯誤所導致，其可遭惡意利用而洩漏本機檔案，或造成過度消耗記憶體和 CPU 等等。

。

ID	名稱	產品	系列	已發布	已更新	嚴重性
65921	Debian DSA-2659-1：libapache-mod-security - XML 外部實體處理弱點	Nessus	Debian Local Security Checks	2013/4/11	2021/1/11	high
66162	Fedora 19 : mod_security-2.7.3-1.fc19 (2013-4908)	Nessus	Fedora Local Security Checks	2013/4/22	2021/1/11	high
66266	Mandriva Linux 安全性公告：apache-mod_security (MDVSA-2013:156)	Nessus	Mandriva Local Security Checks	2013/4/30	2021/1/6	high
67127	ModSecurity < 2.7.3 XML 外部實體 (XXE) 資料剖析任意檔案洩漏	Nessus	Firewalls	2013/7/2	2022/4/11	high
65962	Fedora 17 : mod_security-2.7.3-1.fc17 (2013-4834)	Nessus	Fedora Local Security Checks	2013/4/14	2021/1/11	high
80704	Oracle Solaris 第三方修補程式更新：modsecurity (cve_2012_2751_improper_input)	Nessus	Solaris Local Security Checks	2015/1/19	2021/1/14	high
75112	openSUSE 安全性更新：apache2-mod_security2 (openSUSE-SU-2013:1336-1)	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	high
65961	Fedora 18 : mod_security-2.7.3-1.fc18 (2013-4831)	Nessus	Fedora Local Security Checks	2013/4/14	2021/1/11	high
65989	FreeBSD：ModSecurity -- XML 外部實體處理弱點 (2070c79a-8e1e-11e2-b34d-000c2957946c)	Nessus	FreeBSD Local Security Checks	2013/4/17	2021/1/6	high
75113	openSUSE 安全性更新：apache2-mod_security2 (openSUSE-SU-2013:1331-1)	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	high

偵測

搜尋 Plugin

high

high

high

high

high

high

high

high

high

high