Debian DLA-3293-1：modsecurity-crs - LTS 安全更新

critical Nessus 插件 ID 170888

语言：

简介

远程 Debian 主机上缺少一个或多个与安全性相关的更新。

描述

远程 Debian 10 主机上安装的程序包受到 dla-3293 公告中提及的多个漏洞影响。

- OWASP ModSecurity 核心规则集 (owasp-modsecurity-crs) v3.1.0-rc3 及之前所有版本存在可透过 {`a`b} 触发的 SQL 注入绕过（即 PL1 绕过）漏洞影响，其中 a 表示特殊的函数名称（例如 if），b 表示要执行的 SQL 语句。(CVE-2018-16384)

- Modsecurity owasp-modsecurity-crs 3.2.0 （PL1 的 Paranoia 级别）存在 SQL 注入绕过漏洞。
攻击者可利用 SQL 语法中的注释字符和变量分配绕过 Modsecurity WAF 保护，并对 Web 应用程序实施 SQL 注入攻击。(CVE-2020-22669)

- OWASP ModSecurity 核心规则集 3.1.x 版的 3.1.2 之前版本、3.2.x 版的 3.2.1 之前版本、3.3.x 版的 3.3.2 之前版本受到通过尾部路径名触发的请求正文绕过漏洞影响。(CVE-2021-35368)

- OWASP ModSecurity 核心规则集 (CRS) 受到部分规则集绕过漏洞的影响，通过提交指示多种字符编码方案的特制 HTTP Content-Type 标头字段可触发此漏洞。攻击可通过声明多个 Content-Type 字符集名称来利用易受攻击的后端，从而绕过可配置的 CRS Content-Type 标头字符集允许列表。编码的负载可以通过这种方式绕过 CRS 检测，然后可能被后端解码。旧版 CRS 3.0.x 和 3.1.x 以及当前支持的版本 3.2.1 和 3.3.2 受到影响。建议集成商和用户分别升级到 3.2.2 和 3.3.3。(CVE-2022-39955)

- OWASP ModSecurity 核心规则集 (CRS) 受到 HTTP 多部分请求的部分规则集绕过的影响，方法是通过 Content-Type 或已弃用的 Content-Transfer-Encoding 多部分 MIME 标头字段（不会被 Web 应用程序防火墙引擎和规则集解码和检查）提交使用字符编码方案的负载。因此，多部分负载将绕过检测。支持这些编码方案的易受攻击的后端可能被利用。旧版 CRS 3.0.x 和 3.1.x 以及当前支持的版本 3.2.1 和 3.3.2 受到影响。建议集成商和用户分别升级到 3.2.2 和 3.3.3。针对这些漏洞的缓解措施取决于安装的最新 ModSecurity 版本 (v2.9.6 / v3.0.8)。
(CVE-2022-39956)

- OWASP ModSecurity 核心规则集 (CRS) 受到响应正文绕过漏洞的影响。客户端可发出包含可选字符集参数的 HTTP Accept 标头字段，以便接收编码形式的响应。根据字符集不同，此响应无法被 Web 应用程序防火墙解码。因此，受限资源可绕过检测（通常会检测到对受限资源的访问）。旧版 CRS 3.0.x 和 3.1.x 以及当前支持的版本 3.2.1 和 3.3.2 受到影响。建议集成商和用户分别升级到 3.2.2 和 3.3.3。
(CVE-2022-39957)

- OWASP ModSecurity 核心规则集 (CRS) 受到响应正文绕过漏洞的影响，通过重复提交字节范围较小的 HTTP Range 标头字段，可依次泄露无法检测的较小数据部分。尽管受到使用 CRS 的 Web 应用程序防火墙的保护，但通常会被检测到的受限制资源可能会从后端泄露。受限资源的短小节可能会绕过模式匹配技术并允许未检测到的访问。旧版 CRS 3.0.x 和 3.1.x 以及当前支持的版本 3.2.1 和 3.3.2 受到影响。
建议集成商和用户分别升级到 3.2.2 和 3.3.3 ，并将 CRS paranoia 级别配置为 3 级或更高。(CVE-2022-39958)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。