GLSA-202305-25 : OWASP ModSecurity 核心規則集：多個弱點

critical Nessus Plugin ID 176193

語系：

說明

遠端主機受到 GLSA-202305-25 中所述的弱點影響 (OWASP ModSecurity 核心規則集：多個弱點)

- 在 OWASP ModSecurity 核心規則集 3.1.x 的 3.1.2 之前版本、3.2.x 的 3.2.1 之前版本以及 3.3.x 的 3.3.2 之前版本中，可透過結尾路徑名稱引致要求內文繞過弱點。(CVE-2021-35368)

- OWASP ModSecurity 核心規則集 (CRS) 受到部分規則集繞過弱點影響，這是因為攻擊者可提交特製的 HTTP Content-Type 標頭欄位，而該欄位指出多個字元編碼配置。攻擊者可宣告多個 Content-Type 字元集名稱，進而繞過可設定的 CRS Content-Type 標頭字元集允許清單，藉此攻擊存在弱點的後端。編碼後的承載可透過此方式繞過 CRS 偵測，然後由後端解碼。舊版 CRS 3.0.x 和 3.1.x 以及目前支援的 3.2.1 和 3.3.2 版本受到影響。建議整合者和使用者分別升級至 3.2.2 和 3.3.3。(CVE-2022-39955)

- OWASP ModSecurity 核心規則集 (CRS) 受到 HTTP multipart 要求的部分規則集繞過弱點影響，方法是透過 Content-Type 或過時的 Content-Transfer-Encoding multipart MIME 標頭欄位提交使用字元編碼配置的承載，Web 應用程式防火牆引擎和規則集不會解碼和檢查這些欄位。因此，multipart 承載會繞過偵測。支援這些編碼配置的有弱點的後端可能遭到攻擊。舊版 CRS 3.0.x 和 3.1.x 以及目前支援的 3.2.1 和 3.3.2 版本受到影響。建議整合者和使用者分別升級至 3.2.2 和 3.3.3。針對這些弱點的緩解措施取決於是否安裝最新版 ModSecurity (v2.9.6 / v3.0.8)。
(CVE-2022-39956)

- OWASP ModSecurity 核心規則集 (CRS) 受到回應內文繞過弱點影響。用戶端可發出包含選用字元集參數的 HTTP Accept 標頭欄位，以便以編碼形式接收回應。根據字元集而定，Web 應用程式防火牆無法解碼此回應。因此，受限資源可能會繞過偵測 (通常會偵測到對於這些資源的存取)。舊版 CRS 3.0.x 和 3.1.x 以及目前支援的 3.2.1 和 3.3.2 版本受到影響。建議整合者和使用者分別升級至 3.2.2 和 3.3.3。
(CVE-2022-39957)

- OWASP ModSecurity 核心規則集 (CRS) 受到回應內文繞過弱點影響，透過重複提交位元組範圍較小的 HTTP Range 標頭欄位，可依序洩漏無法偵測的小資料區段。儘管受到使用 CRS 的 Web 應用程式防火牆保護，受限資源仍可能會從後端洩漏 (通常會偵測到對於這些資源的存取)。受限資源的簡短子區段可能會繞過模式比對技術，並允許未偵測到的存取。舊版 CRS 3.0.x 和 3.1.x 以及目前支援的 3.2.1 和 3.3.2 版本受到影響。
建議整合者和使用者分別升級至 3.2.2 和 3.3.3 ，並將 CRS paranoia 等級設定為 3 級或更高。(CVE-2022-39958)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。