Behebung einer DoS-Sicherheitslücke (CVE-2020-15598) in ModSecurity
[ Anmerkung des Herausgebers – Der Verkauf des NGINX ModSecurity WAF- Moduls für NGINX Plus endete offiziell am 1. April 2022 , und mit Wirkung zum 31. März 2024 wird es nicht mehr unterstützt . Weitere Einzelheiten finden Sie unter „F5 NGINX ModSecurity WAF wird eingestellt“<.htmla> in unserem Blog.]
Am 14. September 2020 veröffentlichte das OWASP ModSecurity Core Rule Set (CRS)-Team Details zu einer Schwachstelle in ModSecurity . Der Sicherheitslücke wurde die Bezeichnung CVE-2020-15598 zugewiesen, Einzelheiten wurden zum Zeitpunkt der Erstellung dieses Artikels jedoch noch nicht veröffentlicht. Die Natur des Problems wird von Trustwave, dem Betreuer des ModSecurity-Projekts, bestritten , der jedoch Abhilfemaßnahmen für das problematische Verhalten vorgeschlagen hat.
Das Problem kann das NGINX ModSecurity WAF- Modul für NGINX Plus betreffen, das auf der aktuellen Version ModSecurity 3.0.4 basiert. Das NGINX-Team bei F5 hat mit dem Reporter zusammengearbeitet und das empfohlene Update validiert und auf die neuesten Versionen von NGINX ModSecurity WAF (für NGINX Plus R20, R21 und R22 ) angewendet.
Weitere Einzelheiten zu diesem Problem finden Sie in den folgenden Ressourcen:
- OWASP CRS-Team: CVE-2020-15598 – ModSecurity v3 von DoS betroffen (Schweregrad HOCH)
- Vertrauenswelle: ModSecurity, reguläre Ausdrücke und umstrittenes CVE-2020-15598
- Mitre.org: CVE-2020-15598 (derzeit reserviert, nicht veröffentlicht)
Das NGINX-Produktteam bei F5 dankt Christian Folini von NetNEA und dem CRS-Entwickler Ervin Hegedüs für ihre Unterstützung bei der Erstellung eines Patches für NGINX ModSecurity WAF. Wir empfehlen NGINX Plus-Abonnenten dringend, ihr NGINX ModSecurity WAF-Modul auf die neueste Version für NGINX Plus R20, R21 oder R22 zu aktualisieren.
Abonnenten, die Versionen ausführen20-1.0.0-12 ,21-1.0.1-2 , oder22-1.0.1-2 oder höher des Pakets nginx-plus-module-modsecurity sind vor diesem Problem geschützt. Um die installierte Version zu bestätigen, können Sie den folgenden Befehl ausführen:
Ubuntu und verwandte Plattformen:
# apt list --installed nginx-plus-module-modsecurity Auflistung … Fertig nginx-plus-module-modsecurity/stable, jetzt 22+1.0.1-2~focal amd64 [installiert]Red Hat Enterprise Linux und verwandte Plattformen:
# yum-Liste --installiert nginx-plus-module-modsecurity nginx-plus-module-modsecurity.x86_64 22+1.0.1-2.el8.ngx @nginx-plusBitte wenden Sie sich an Ihren NGINX-Supportmitarbeiter bei F5, wenn Sie Hilfe benötigen.
Wenn Sie eine private Open-Source-Version von ModSecurity verwenden, konsultieren Sie das offizielle Trustwave SpiderLabs ModSecurity-Repository auf GitHub, ziehen Sie die von Trustwave vorgeschlagenen alternativen Risikominderungsmaßnahmen in Betracht und bewerten Sie den vom OWASP CRS-Team bereitgestellten Patch. Wenn Sie ModSecurity aus einer anderen Quelle verwenden, wenden Sie sich bitte an den Betreuer dieser Quelle oder berücksichtigen Sie die vom OWASP CRS-Team und TrustWave beschriebenen Abhilfemaßnahmen.
[Der Verkauf des NGINX ModSecurity WAF-Moduls für NGINX Plus endete offiziell am 1. April 2022 , und mit Wirkung zum 31. März 2024 wird es nicht mehr unterstützt . Weitere Einzelheiten finden Sie unter „F5 NGINX ModSecurity WAF wird eingestellt“<.htmla> in unserem Blog.]
„Dieser Blogbeitrag kann auf Produkte verweisen, die nicht mehr verfügbar und/oder nicht mehr unterstützt werden. Die aktuellsten Informationen zu verfügbaren F5 NGINX-Produkten und -Lösungen finden Sie in unserer NGINX-Produktfamilie . NGINX ist jetzt Teil von F5. Alle vorherigen NGINX.com-Links werden auf ähnliche NGINX-Inhalte auf F5.com umgeleitet."