Correction d'une vulnérabilité DoS (CVE-2020-15598) dans ModSecurity
[ Éditeur – Le module WAF NGINX ModSecurity pour NGINX Plus est officiellement en fin de commercialisation depuis le 1er avril 2022 et passe en fin de vie à compter du 31 mars 2024 . Pour plus de détails, voir F5 NGINX ModSecurity WAF Is Transitioning to End-of-Life<.htmla> sur notre blog.]
Le 14 septembre 2020 , l'équipe OWASP ModSecurity Core Rule Set (CRS) a publié les détails d'une vulnérabilité dans ModSecurity . La vulnérabilité a reçu l'identifiant CVE-2020-15598 , mais les détails n'ont pas été publiés au moment de la rédaction de cet article. La nature du problème est contestée par Trustwave , le mainteneur du projet ModSecurity, qui a proposé des mesures d'atténuation du comportement problématique.
Le problème peut affecter le module WAF NGINX ModSecurity pour NGINX Plus, qui est basé sur la version actuelle de ModSecurity 3.0.4. L'équipe NGINX de F5 a travaillé avec le journaliste et a validé et appliqué sa mise à jour recommandée aux versions récentes de NGINX ModSecurity WAF (pour NGINX Plus R20, R21 et R22 ).
Pour plus de détails sur le sujet, veuillez consulter les ressources suivantes :
- Équipe CRS de l'OWASP : CVE-2020-15598 – ModSecurity v3 affecté par un déni de service (gravité ÉLEVÉE)
- Onde de confiance : ModSecurity, expressions régulières et CVE-2020-15598 contesté
- Mitre.org: CVE-2020-15598 (actuellement réservé, non publié)
L'équipe produit NGINX de F5 remercie Christian Folini de NetNEA et le développeur CRS Ervin Hegedüs pour leur soutien à la création d'un patch pour NGINX ModSecurity WAF. Nous encourageons vivement les abonnés NGINX Plus à mettre à niveau leur module WAF NGINX ModSecurity vers la dernière version pour NGINX Plus R20, R21 ou R22.
Les abonnés qui exécutent des versions20-1.0.0-12 ,21-1.0.1-2 , ou22-1.0.1-2 ou une version ultérieure du package nginx-plus-module-modsecurity sont protégés contre ce problème. Pour confirmer la version installée, vous pouvez exécuter la commande suivante :
Ubuntu et plateformes associées :
# apt list --installed nginx-plus-module-modsecurity Liste... Terminé nginx-plus-module-modsecurity/stable, maintenant 22+1.0.1-2~focal amd64 [installé]Red Hat Enterprise Linux et plateformes associées :
# yum list --installed nginx-plus-module-modsecurity nginx-plus-module-modsecurity.x86_64 22+1.0.1-2.el8.ngx @nginx-plusVeuillez contacter votre représentant du support NGINX au F5 si vous avez besoin d'aide.
Si vous utilisez une version privée et open source de ModSecurity, reportez-vous au référentiel officiel Trustwave SpiderLabs ModSecurity sur GitHub, envisagez les mesures d'atténuation alternatives proposées par Trustwave et évaluez le correctif fourni par l' équipe OWASP CRS . Si vous utilisez ModSecurity à partir d'une autre source, veuillez contacter le mainteneur de cette source ou envisager les mesures d'atténuation décrites par l'équipe CRS de l'OWASP et TrustWave.
[Le module WAF NGINX ModSecurity pour NGINX Plus est officiellement en fin de commercialisation depuis le 1er avril 2022 et passe en fin de vie à compter du 31 mars 2024 . Pour plus de détails, voir F5 NGINX ModSecurity WAF Is Transitioning to End-of-Life<.htmla> sur notre blog.]
« Cet article de blog peut faire référence à des produits qui ne sont plus disponibles et/ou qui ne sont plus pris en charge. Pour obtenir les informations les plus récentes sur les produits et solutions F5 NGINX disponibles, explorez notre famille de produits NGINX . NGINX fait désormais partie de F5. Tous les liens NGINX.com précédents redirigeront vers un contenu NGINX similaire sur F5.com."