Debian dla-4488 : modsecurity-crs - セキュリティ更新

critical Nessus プラグイン ID 299744

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 11 ホストには、dla-4488 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

------------------------------------------------------------------------- Debian LTS アドバイザリ DLA-4488-1 [email protected] https://www.debian.org/lts/security/Tobias Frost 2026 年 2 月 22 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

パッケージ : modsecurity-crs バージョン : 3.3.4-1~deb11u2 CVE ID : CVE-2023-38199 CVE-2026-21876 Debian バグ : 1041109 1125084

ModSecurity で使用する汎用攻撃検知ルールのセットである modsecurity-crs における複数の問題が修正されました。

CVE-2023-38199

- 3.3.4 までの Coreruleset (別名 OWASP ModSecurity コアルールセット) は、一部のプラットフォームで複数の Content-Type リクエストヘッダーを検出しません。これにより、攻撃者が細工されたペイロードで WAF をバイパス (別名 WAF とバックエンドアプリケーション間の Content-Type の取り違え) する可能性があります。
これは、ウェブアプリケーションが最後の Content-Type ヘッダーのみに依存している場合に発生します。他のプラットフォームが追加の Content-Type ヘッダーを拒否したり、競合するヘッダーをマージしたりすると、無効な形式のヘッダーとして検出される可能性があります。

CVE-2026-21876

現在のルール 922110 では、複数のパートを含むマルチパートリクエストを処理する際にバグがあります。チェーンの最初のルールが「MULTIPART_PART_HEADERS」などのコレクション上で反復する場合、キャプチャ変数 (TX:0、TX:1) は各反復ごとに上書きされます。最後にキャプチャされた値のみが連鎖ルールで利用可能になります。これにより、後のパートに正当な charset がある場合、前のパートに含まれる悪意のある charset が見逃される可能性があります。

Debian 11 bullseye においては、これらの問題はバージョン 3.3.4-1~deb11u2 で修正されました。

お使いの modsecurity-crs パッケージをアップグレードすることを推奨します。

modsecurity-crs の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/modsecurity-crs

Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTSAttachment:signature.ascDescription: PGP 署名

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。