ModSecurity の DoS 脆弱性 (CVE-2020-15598) への対処

[編集者注– NGINX Plus 用のNGINX ModSecurity WAFモジュールは、 2022 年 4 月 1 日をもって正式に販売終了となり、 2024 年 3 月 31 日をもってサポート終了となります。 詳細については、弊社ブログの「F5 NGINX ModSecurity WAF はサポート終了に移行しています<.htmla>」をご覧ください。

2020 年 9 月 14 日、OWASP ModSecurity Core Rule Set (CRS) チームは、ModSecurity の脆弱性の詳細を公開しました。 この脆弱性には識別子CVE-2020-15598が割り当てられていますが、本稿執筆時点では詳細は公開されていません。 この問題の性質については、ModSecurity プロジェクトのメンテナーである Trustwave が異議を唱えており、同社は問題のある動作に対する緩和策を提案している。

この問題は、現在の ModSecurity 3.0.4 リリースに基づく NGINX Plus のNGINX ModSecurity WAFモジュールに影響する可能性があります。 F5 の NGINX チームは報告者と協力し、推奨されるアップデートを検証して、NGINX ModSecurity WAF ( NGINX Plus R20、R21、および R22用) の最新リリースに適用しました。

この問題の詳細については、次のリソースを参照してください。

• OWASP CRS チーム: CVE-2020-15598 – ModSecurity v3 が DoS の影響を受ける (重大度 HIGH)
• トラストウェーブ: ModSecurity、正規表現、そして論争中のCVE-2020-15598
• Mitre.org: CVE-2020-15598 (現在予約済み、未公開)

F5 の NGINX 製品チームは、NGINX ModSecurity WAF のパッチ作成に協力してくれた NetNEA のChristian Folini 氏と CRS 開発者のErvin Hegedüs 氏に感謝します。 NGINX Plus サブスクライバーには、NGINX ModSecurity WAF モジュールをNGINX Plus R20、R21、または R22 の最新バージョンにアップグレードすることを強くお勧めします。

バージョンを実行している加入者20-1.0.0-12、21-1.0.1-2 、 または22-1.0.1-2nginx-plus-module-modsecurityパッケージの 1.0 以降は、この問題から保護されています。 インストールされているバージョンを確認するには、次のコマンドを実行します。

• Ubuntu および関連プラットフォーム:

# apt list --installed nginx-plus-module-modsecurityをリストしています... nginx-plus-module-modsecurity/stable が完了しました。現在は 22+1.0.1-2~focal amd64 [インストール済み]

• Red Hat Enterprise Linux および関連プラットフォーム:

  # yum list --installed nginx-plus-module-modsecurity nginx-plus-module-modsecurity.x86_64 22+1.0.1-2.el8.ngx @nginx-plus

サポートが必要な場合は、F5 の NGINX サポート担当者にお問い合わせください。

ModSecurity のプライベートなオープンソース ビルドを使用する場合は、GitHub の公式 Trustwave SpiderLabs ModSecurity リポジトリを参照し、 Trustwave が提案する代替緩和策を検討し、 OWASP CRS チームが提供するパッチを評価してください。 別のソースからの ModSecurity を使用する場合は、そのソースのメンテナーに連絡するか、OWASP CRS チームと TrustWave によって説明されている緩和策を検討してください。

[NGINX Plus 用の NGINX ModSecurity WAF モジュールは、2022 年 4 月 1 日をもって正式に販売終了となり、 2024 年 3 月 31 日をもってサポート終了となります。 詳細については、弊社ブログの「F5 NGINX ModSecurity WAF はサポート終了に移行しています<.htmla>」をご覧ください。