Positive Technologies 的 Timur Yunusov 和 Alexey Osipov 发现 ModSecurity 的 XML 文件解析器（用于增强 Web 应用程序安全的 Apache 模块）容易遭受 XML 外部实体攻击。处理远程攻击者提供的特别构建 XML 文件可导致本地文件泄露或过量资源（CPU、内存）消耗。

此更新引入了一个默认为“Off”的 SecXmlExternalEntity 选项。这样将禁用 libxml2 加载外部实体的功能。

更新到 2.7.3。上游变更日志：https://github.com/SpiderLabs/ModSecurity/blob/master/CHANGES

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

在 apache-mod_security 中发现并修正了一个漏洞：

2.7.3 之前的 ModSecurity 允许远程攻击者通过 XML 外部实体声明结合实体引用来读取任意文件、将 HTTP 请求发送到 intranet 服务器或造成拒绝服务（CPU 和内存消耗），又称为 XML 外部实体 (XXE) 漏洞 (CVE-2013-1915)。

更新后的程序包已进行修补，以修正此问题。

根据其标题，远程主机上安装的 ModSecurity 版本低于 2.7.3。因此，它可能会受到一个文件泄露漏洞的影响。未正确配置的 XML 解析器可允许接受来自外部源的不受信任的 XML 实体，因此可能导致任意文件泄露。

内部网络服务器也可能接收未授权的请求。还有可能造成拒绝服务情况。

请注意，Nessus 还未测试该问题，而只依赖于服务器标题中的版本。

Positive Technologies 报告 ModSecurity 中存在一个漏洞，可被恶意人员利用来泄露可能敏感的信息或造成 DoS（拒绝服务）。

该漏洞产生的原因是解析外部 XML 实体时的错误，例如，可被利用来泄露本地文件或者造成过度内存和 CPU 消耗。

。

- 此程序包经过彻底检查，已更新到 2.7.5。

- ruleset 更新到 2.2.8-0-g0f07cbb。

- mod_security2 专用的新配置框架：按照根据 /etc/apache2/conf.d/mod_security2.conf 中的建议进行设置，/etc/apache2/conf.d/mod_security2.conf 先加载 /usr/share/apache2-mod_security2/rules/modsecurity_crs_1 0_setup.conf，再加载 /etc/apache2/mod_security2.d/*.conf，配置起点是 /etc/apache2/conf.d/mod_security2.conf

- !!! 请注意，要使 mod_security2 运行，必须具有 mod_unique_id！

- modsecurity-apache_2.7.5-build_fix_pcre.diff 更改了错误的链接器参数，可阻止共享对象中的 rpath。

- 补丁修复了以下缺陷：

- CVE-2009-5031、CVE-2012-2751 [bnc#768293] 请求参数处理

- [bnc#768293] 多部分绕过，次要威胁

- CVE-2013-1915 [bnc#813190] XML 外部实体漏洞

- CVE-2012-4528 [bnc#789393] 规则绕过

- CVE-2013-2765 [bnc#822664] 空指针取消引用崩溃

- 从 2.5.9 到 2.7.5 的新特色，仅限重大更改：

- GPLv2 被 Apache 许可证 v2 替换

- 规则不再是源 tarball 的一部分，但保持在外部上游，也包含在此程序包中。

- 文档外部化到 wiki 中。程序包包含 html 形式的常见问题及解答和参考手册。

- 重新命名了指令中实际是指哈希的“加密”一词。有关详细信息，请参阅 CHANGES 文件。

- 新的指令 SecXmlExternalEntity，默认关闭

- 修复了记录时 s390x 上的字节转换问题。

- 修复了 Coverity 扫描程序发现的许多小问题

- 更新了参考手册

- 修复了对某些时区进行记录时的时间计算错误。

- 用更细的粒度替换用于请求/应答阶段测量的时间测量机制。（保留秒表以便兼容。）

- Cookie 解析器内存泄漏修复

- 修复了对多部分 Content-Disposition 标头中引用字符串的解析。

- SDBM 死锁修复

- @rsub 内存泄漏修复

- Cookie 分隔符代码改进

- 生成错误补丁

- 编译时间选项 --enable-htaccess-config (set)

远程 Solaris 系统缺少用于处理安全更新的必要修补程序：

  - 2.6.6 之前的 ModSecurity 与 PHP 一起使用时，未正确处理具有 multipart/form-data Content-Type 标头的请求中不在 Content-Disposition 字段中请求参数值开头的单引号，这允许远程攻击者绕过过滤规则而执行其他攻击，例如跨站脚本 (XSS) 攻击。注意：存在此漏洞的原因是未完整修复 CVE-2009-5031。(CVE-2012-2751)

  - 2.7.3 之前的 ModSecurity 允许远程攻击者通过 XML 外部实体以及实体引用读取任意文件、发送 HTTP 请求到 Intranet 服务器或造成拒绝服务（CPU 和内存消耗），又称为 XML 外部实体 (XXE) 漏洞。(CVE-2013-1915)

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
65921	Debian DSA-2659-1：libapache-mod-security - XML 外部实体处理漏洞	Nessus	Debian Local Security Checks	2013/4/11	2021/1/11	high
66162	Fedora 19：mod_security-2.7.3-1.fc19 (2013-4908)	Nessus	Fedora Local Security Checks	2013/4/22	2021/1/11	high
66266	Mandriva Linux 安全公告：apache-mod_security (MDVSA-2013:156)	Nessus	Mandriva Local Security Checks	2013/4/30	2021/1/6	high
67127	ModSecurity < 2.7.3 XML 外部实体 (XXE) 数据解析任意文件泄露	Nessus	Firewalls	2013/7/2	2022/4/11	high
65989	FreeBSD：ModSecurity -- XML 外部实体处理漏洞 (2070c79a-8e1e-11e2-b34d-000c2957946c)	Nessus	FreeBSD Local Security Checks	2013/4/17	2021/1/6	high
65961	Fedora 18：mod_security-2.7.3-1.fc18 (2013-4831)	Nessus	Fedora Local Security Checks	2013/4/14	2021/1/11	high
75113	openSUSE 安全更新：apache2-mod_security2 (openSUSE-SU-2013:1331-1)	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	high
75112	openSUSE 安全更新：apache2-mod_security2 (openSUSE-SU-2013:1336-1)	Nessus	SuSE Local Security Checks	2014/6/13	2021/1/19	high
65962	Fedora 17：mod_security-2.7.3-1.fc17 (2013-4834)	Nessus	Fedora Local Security Checks	2013/4/14	2021/1/11	high
80704	Oracle Solaris 第三方修补程序更新：modsecurity (cve_2012_2751_improper_input)	Nessus	Solaris Local Security Checks	2015/1/19	2021/1/14	high

检测

插件搜索

high

high

high

high

high

high

high

high

high

high