Risque

Déni de service à distance.

Systèmes affectés

  • ModSecurity versions antérieures à 2.5.9.

Résumé

Plusieurs vulnérabilités du module ModSecurity permettent de réaliser un déni de service à distance.

Description

Il existe plusieurs vulnérabilités du module ModSecurity d'Apache :

  • la première vulnérabilité est présente dans la gestion des contenus multipartie ;
  • la seconde vulnérabilité concerne la gestion des requêtes lorsque la protection contre l'injection de code indirecte des fichiers au format PDF (PDF XSS) est activée.
Un individu malintentionné peut réaliser un déni de service à distance du module ModSecurity, voire même d'Apache, en exploitant l'une de ces vulnérabilités par le biais d'une requête spécifiquement conçue.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation