VulDB: ModSecurity 2.1.0 POST Data NULL Byte Rule Bypass
Allgemein
scipID: 2973
Betroffen: mod_security <= 2.1.0
Veröffentlicht: 07.03.2007 (Stefan Esser, Hardened PHP Project)
Risiko: 
problematisch
Beschreibung
Das Apache-Modul mod_security erfüllt den Zweck einer sogenannten Web Application Firewall, die auf Applikationsebene gewisse Filteraufgaben zur Vermeidung webbasierter Attacken eingesetzt werden kann. Stefan Esser publizierte im Rahmen des "Month of PHP Bugs" eine Schwachstelle in mod_security, bei der durch das Senden eines Null-Bytes eine Umgehung der in Kraft gesetzten Regeln möglich ist.
Stefan Esser publizierte diese Schwachstelle als "Bonus"-Vulnerability im Rahmen seines "Month of PHP Bugs". Die Lücke zeigt klar auf, warum eine Web Application Firewall nicht als Ersatz für saubere und sichere Programmierung angesehen werden kann und darf, sondern lediglich eine Ergänzung, eine weitere Ebene zur Erhöhung der Gesamtsicherheit darstellt. Da derzeit kein Patch im eigentlichen Sinne verfügbar ist, empfiehlt es sich den Workaround der Entwickler zu befolgen und mittels mod_security sämtliche Null-Bytes zu filtern.
Exploiting
Klasse: Eingabeungültigkeit
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: 25288
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2008.html
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://www.modsecurity.org/blog/archives/2007/03/modsecurity_asc.html
Snort: –
Pattern: –
Quellen
Advisory: http://www.php-security.org/MOPB/BONUS-12-2007.html
CVE: CVE-2007-1359
OSVDB: 32778
Securityfocus: 22831
Secunia: 31113
X-Force: 32872
Securitytracker: –
VUPEN: ADV-2008-2115
Securiteam: –
Tecchannel: –
Heise: –
smSS: smSS 19. Maerz 2007
Andere: http://www.fadetoblack.ch/blog/2007/02/13/web-defense-in-depth/
Buchtipp: Marc Ruef (2007), Die Kunst des Penetration Testing, C&L Verlag, ISBN 3936546495 (amazon.de)
