ModSecurity引号解析安全限制绕过漏洞（CVE-2009-5031）

发布日期：2012-01-01
更新日期：2012-08-01受影响系统：
Breach Security mod_security 2.x
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 54156
CVE ID: CVE-2009-5031mod_security是经常与PHP结合使用的Web应用防火墙。ModSecurity 2.5.11之前版本将包含单引号的请求参数值视为文件，可允许远程攻击者通过带有multipart/form-data Content-Type标头的请求内Content-Disposition字段中的请求参数的单引号，绕过过滤规则并执行诸如XSS攻击。<*来源：VMRL

链接：http://secunia.com/advisories/49576
*>建议：
--------------------------------------------------------------------------------
厂商补丁：Breach Security
---------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：http://www.modsecurity.org/index.phpModSecurity引号解析安全限制绕过漏洞（CVE-2012-2751）Django跨站脚本执行和两个拒绝服务漏洞相关资讯安全限制绕过漏洞 ModSecurity

Ubuntu 14.04 下安装Apache+ （01/25/2015 20:36:33）
ModSecurity "mod_headers"模块安（04/04/2014 06:28:41）
ModSecurity 的拒绝服务漏洞已修复（05/29/2013 08:26:20）

ModSecurity "modsecurity.c"安全（04/04/2014 19:52:02）
ModSecurity HTTP请求分块编码安全（04/02/2014 11:39:20）
多个IBM WebSphere产品安全限制绕（11/07/2012 06:24:55）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容