Abordar una vulnerabilidad de denegación de servicio (CVE-2020-15598) en ModSecurity
[ Editor – El módulo WAF NGINX ModSecurity para NGINX Plus dejó de venderse oficialmente el 1 de abril de 2022 y su transición al fin de su vida útil será efectiva el 31 de marzo de 2024. ] Para obtener más detalles, consulte F5 NGINX ModSecurity WAF está en transición al final de su vida útil<.htmla> en nuestro blog.]
El 14 de septiembre de 2020 , el equipo del conjunto de reglas principales (CRS) de ModSecurity de OWASP publicó detalles de una vulnerabilidad en ModSecurity . A la vulnerabilidad se le ha asignado el identificador CVE-2020-15598 , pero no se han publicado detalles al momento de escribir este artículo. Trustwave, el mantenedor del proyecto ModSecurity, cuestiona la naturaleza del problema y ha propuesto mitigaciones para el comportamiento problemático.
El problema puede afectar al módulo WAF NGINX ModSecurity para NGINX Plus, que se basa en la versión actual ModSecurity 3.0.4. El equipo NGINX de F5 trabajó con el informante y validó y aplicó la actualización recomendada a las versiones recientes de NGINX ModSecurity WAF (para NGINX Plus R20, R21 y R22 ).
Para obtener más detalles sobre el tema, consulte los siguientes recursos:
- Equipo CRS de OWASP: CVE-2020-15598: ModSecurity v3 afectado por DoS (gravedad ALTA)
- Trustwave: ModSecurity, expresiones regulares y la controvertida vulnerabilidad CVE-2020-15598
- Mitre.org: CVE-2020-15598 (actualmente reservada, no publicada)
El equipo de productos NGINX en F5 agradece a Christian Folini de NetNEA y al desarrollador de CRS Ervin Hegedüs por su apoyo para crear un parche para NGINX ModSecurity WAF. Recomendamos encarecidamente a los suscriptores de NGINX Plus que actualicen su módulo WAF NGINX ModSecurity a la última versión para NGINX Plus R20, R21 o R22.
Suscriptores que están ejecutando versiones20-1.0.0-12 ,21-1.0.1-2 , o22-1.0.1-2 o posteriores del paquete nginx-plus-module-modsecurity están protegidos contra este problema. Para confirmar la versión instalada, puede ejecutar el siguiente comando:
Ubuntu y plataformas relacionadas:
# apt list --installed nginx-plus-module-modsecurity Listado... Listo nginx-plus-module-modsecurity/stable, ahora 22+1.0.1-2~focal amd64 [instalado]Red Hat Enterprise Linux y plataformas relacionadas:
# yum list --installed nginx-plus-module-modsecurity nginx-plus-module-modsecurity.x86_64 22+1.0.1-2.el8.ngx @nginx-plusComuníquese con su representante de soporte de NGINX en F5 si necesita ayuda.
Si utiliza una compilación privada y de código abierto de ModSecurity, consulte el repositorio oficial Trustwave SpiderLabs ModSecurity en GitHub, considere las mitigaciones alternativas propuestas por Trustwave y evalúe el parche proporcionado por el equipo OWASP CRS . Si utiliza ModSecurity de otra fuente, comuníquese con el mantenedor de esa fuente o considere las mitigaciones descritas por el equipo de OWASP CRS y TrustWave.
El módulo WAF NGINX ModSecurity para NGINX Plus dejó de venderse oficialmente el 1 de abril de 2022 y su transición al fin de su vida útil será efectiva el 31 de marzo de 2024 . Para obtener más detalles, consulte F5 NGINX ModSecurity WAF está en transición al final de su vida útil<.htmla> en nuestro blog.]
"Esta publicación de blog puede hacer referencia a productos que ya no están disponibles o que ya no reciben soporte. Para obtener la información más actualizada sobre los productos y soluciones F5 NGINX disponibles, explore nuestra familia de productos NGINX . NGINX ahora es parte de F5. Todos los enlaces anteriores de NGINX.com redirigirán a contenido similar de NGINX en F5.com.