Debian DLA-3283-1:modsecurity-apache - LTS 安全更新
critical Nessus 插件 ID 170697
语言:
简介
远程 Debian 主机上缺少一个或多个与安全性相关的更新。描述
远程 Debian 10 主机上安装的多个程序包受到 dla-3283 公告中提及的多个漏洞影响。- OWASP ModSecurity 核心规则集 (CRS) 受到 HTTP 多部分请求的部分规则集绕过的影响,方法是通过 Content-Type 或已弃用的 Content-Transfer-Encoding 多部分 MIME 标头字段(不会被 Web 应用程序防火墙引擎和规则集解码和检查)提交使用字符编码方案的负载。因此,多部分负载将绕过检测。支持这些编码方案的易受攻击的后端可能被利用。旧版 CRS 3.0.x 和 3.1.x 以及当前支持的版本 3.2.1 和 3.3.2 受到影响。建议集成商和用户分别升级到 3.2.2 和 3.3.3。针对这些漏洞的缓解措施取决于安装的最新 ModSecurity 版本 (v2.9.6 / v3.0.8)。
(CVE-2022-39956)
- 在低于 2.9.6 和低于 3.0.8 的 3.x 版本的 ModSecurity 中,HTTP 多部分请求被错误解析,可绕过 Web 应用程序防火墙。注意:这与 CVE-2022-39956 有关,但可视为对 ModSecurity(C 语言)代码库进行独立更改。 (CVE-2022-48279)
- 在低于 2.9.7 的 ModSecurity 中对文件上传中的“\0”字节的错误处理可能允许在执行读取 FILES_TMP_CONTENT 集合的规则时在 Web 应用程序防火墙上发生 Web 应用程序防火墙绕过和缓冲区溢出。 (CVE-2023-24021)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级 modsecurity-apache 程序包。对于 Debian 10 buster,已在 2.9.3-1+deb10u2 版本中修复这些问题。
另见
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1029329
http://www.nessus.org/u?b86f5745
https://www.debian.org/lts/security/2023/dla-3283
https://security-tracker.debian.org/tracker/CVE-2022-39956
https://security-tracker.debian.org/tracker/CVE-2022-48279
https://security-tracker.debian.org/tracker/CVE-2023-24021
https://packages.debian.org/source/buster/modsecurity-apache
插件详情
严重性: Critical
ID: 170697
文件名: debian_DLA-3283.nasl
版本: 1.0
类型: local
代理: unix
发布时间: 2023/1/27
最近更新时间: 2023/1/27
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2022-39956
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:debian:debian_linux:10.0, p-cpe:/a:debian:debian_linux:libapache2-mod-security2
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
易利用性: No known exploits are available
补丁发布日期: 2023/1/26
漏洞发布日期: 2022/9/20