ModSecurity引号解析安全限制绕过漏洞(CVE-2009-5031)

2020年10月4日 12:48:18Linux大全评论578 views阅读模式

发布日期：2012-01-01
更新日期：2012-08-01

受影响系统：
Breach Security mod_security 2.x
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 54156
CVE ID: CVE-2009-5031

mod_security是经常与PHP结合使用的Web应用防火墙。

ModSecurity 2.5.11之前版本将包含单引号的请求参数值视为文件，可允许远程攻击者通过带有multipart/form-data Content-Type标头的请求内Content-Disposition字段中的请求参数的单引号，绕过过滤规则并执行诸如XSS攻击。

<*来源：VMRL

链接：http://secunia.com/advisories/49576
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Solaris 10下开启root远程访问的步骤

卸载Linux系统分区经验

Git 分支的创建、合并、管理和删除

JPPF 4.2.4 发布下载，Java 并行处理框架

Hibernate ORM 5.0.0.Beta2 发布下载

Android短信应用——短信信息实时获取

inotify与rsync对服务器进行实时同步之sersync

FFmpeg多个未知细节安全漏洞

Java后台JOSN转换为Stirng

Linux下Samba服务器搭建实例

本文由企鹅博客发表于 2020年10月4日 12:48:18
转载请务必保留本文链接：https://www.qieseo.com/143332.html

发表评论