Bug 11035 - mod_security POST Rules Bypass Vulnerability
Summary: mod_security POST Rules Bypass Vulnerability
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: mod_security (show other bugs)
Version: unstable
Hardware: all Linux
: P2 normal
Assignee: Vladimir V. Kamarzin
QA Contact: qa-sisyphus
URL: http://www.php-security.org/MOPB/BONU...
Keywords:
Depends on:
Blocks:
 
Reported: 2007-03-07 16:04 MSK by Igor Zubkov
Modified: 2008-05-20 02:25 MSD (History)
3 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Igor Zubkov 2007-03-07 16:04:51 MSK 
Ссылку на оригинал я привёл. Там всё расписано, кроме рецепта как избавится.
Официального патча ещё нет. На secunia (SA24373), указан такой солюшен:

Solution:
Do not rely solely on ModSecurity to block attacks.
Comment 1 Vladimir V. Kamarzin 2007-04-05 13:04:10 MSD 
В пакете apache2-mod_security этой баги нет, т.к. исправлена апстримом. В уже
неподдерживаемом апстимом mod_security 1.9 я добавил workaround в виде
http://www.modsecurity.org/blog/archives/2007/03/modsecurity_asc.html.
1.9.4-alt5 уехал в incoming.