ModSecurity 2.1.7/2.5.5/2.5.6/2.5.7/2.5.8 NULL Pointer Dereference 拒绝服务漏洞

CVE编号

CVE-2009-1902

利用情况

暂无

补丁情况

N/A

披露时间

2009-06-04
漏洞描述
在2.5.9之前的ModSecurity中的多部分处理器允许远程攻击者通过缺少部件头名的多部分表单datapost请求导致拒绝服务(崩溃),从而触发NULL指针取消引用。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
http://lists.opensuse.org/opensuse-security-announce/2009-06/msg00003.html
http://secunia.com/advisories/34256
http://secunia.com/advisories/34311
http://secunia.com/advisories/35687
http://security.gentoo.org/glsa/glsa-200907-02.xml
http://sourceforge.net/project/shownotes.php?release_id=667542&group_id=68846
http://www.osvdb.org/52553
http://www.securityfocus.com/archive/1/501968
http://www.securityfocus.com/bid/34096
http://www.vupen.com/english/advisories/2009/0703
https://exchange.xforce.ibmcloud.com/vulnerabilities/49212
https://www.exploit-db.com/exploits/8241
https://www.redhat.com/archives/fedora-package-announce/2009-March/msg00487.html
https://www.redhat.com/archives/fedora-package-announce/2009-March/msg00529.html
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 modsecurity modsecurity * Up to
(including)
2.5.8
运行在以下环境
应用 modsecurity modsecurity 2.1.7 -
运行在以下环境
应用 modsecurity modsecurity 2.5.5 -
运行在以下环境
应用 modsecurity modsecurity 2.5.6 -
运行在以下环境
应用 modsecurity modsecurity 2.5.7 -
CVSS3评分
7.8
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    N/A
  • 用户交互
  • 可用性
    完全地
  • 保密性
  • 完整性
AV:N/AC:L/Au:N/C:N/I:N/A:C
CWE-ID 漏洞类型
CWE-476 空指针解引用
NVD-CWE-Other
阿里云安全产品覆盖情况