(+84) 463.28.7979

Nâng cấp ModSecurity lên Version 2.7.4 để fix lỗi tấn công DOS


ModSecurity là một tường lửa mã nguồn mở dành cho ứng dụng web. Nó cung cấp bảo vệ từ một loạt các cuộc tấn công chống lại các ứng dụng web và cho phép giám sát lưu lượng truy cập HTTP, ghi chép và phân tích thời gian thực.

Denial of Service Vulnerability in ModSecurity

Đội phát triển ModSecurity gần đây đã fix một lỗ hổng (CVE-2013-2765) có thể bị khai thác bởi những kẻ tấn công phá huỷ tường lửa.

Dễ bị tổn thương là nguyên nhân gây ra do một lỗi khi xử lý hành động “forceRequestBodyVariable” và có thể được khai thác để gây ra một con trỏ tới đích NULL qua các yêu cầu HTTP thiết kế đặc biệt.

Vulnerability này được Younes Jaaidi report và theo ông một kẻ tấn công có thể khai thác vấn đề này bằng cách sử dụng trình duyệt web. Ngoài ra, ông cũng phát hành một khai thác cho lỗ hổng này và bạn có thể tải về tại Github.

Nâng cấp lên phiên bản 2.7.4 để sửa lỗi vấn đề này và ngoài ra phiên bản này cũng fix một số lỗi nhỏ và thư viện injection được sử dụng để tấn công SQL injection, trong khi đội ngũ phát triển cũng công bố phiên bản Portable cho Nginx.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>