Brecha de Segurança no mod_security do Apache/NGINX

A versão corrente 2.7.3 do módulo de segurança mod_security do Apache/NGINX corrige um problema de segurança no parser XML de suas versões anteriores. A descoberta foi realizada pelos pesquisadores de segurança Timur Yunusov e Alexey Osipov da Positive Technologies. Eles descobriram que processando um documento XML especialmente preparado conseguiriam acesso aos arquivos locais ou poderiam consumir quantidades excessivas de CPU ou memória do sistema, travando o servidor. A falha foi identificada como CVE-2013-1915.

O módulo mod_security é utilizado como uma aplicação de firewall para a web que permite requisições para o servidor web para serem filtradas de acordo com critérios pré-estabelecidos. O change log lista a correção como um switch adicional,SecXmlExternalEntity o qual controla se a biblioteca libxml que é utilizada pelo mod_security irá carregar entidades externas quando estiver efetuando o parsing de arquivos XML. Esse novo switch está marcado como off por padrão para assim permitir que o parser não receba arquivos de outras localidades quando efetuar o parsing de um documento que referencia para entidades externas.

Fonte: underlinux

Compartilhe