検出

Fedora 36: mod_security / mod_security_crs (2022-90708b46e3)

critical Nessus プラグイン ID 169143

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Fedora 32 ホストには、FEDORA-2022-90708b46e3 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 - OWASP ModSecurity Core Rule Set (CRS) は、複数の文字エンコーディングスキームを示す特別に細工された HTTP Content-Type ヘッダーフィールドを送信することによる、部分的なルールセットバイパスの影響を受けます。複数の Content-Type charset 名を宣言し、構成可能な CRS Content-Type ヘッダー charset 許可リストをバイパスすることで、脆弱なバックエンドが悪用される可能性があります。エンコードされたペイロードは、この方法で CRS 検出をバイパスし、バックエンドによってデコードされる可能性があります。レガシー CRS バージョン 3.0.x と 3.1.x、ならびに現在サポートされているバージョン 3.2.1 と 3.3.2 が影響を受けます。インテグレーターとユーザーは、それぞれ 3.2.2 と 3.3.3 にアップグレードすることが推奨されます。(CVE-2022-39955)

 - OWASP ModSecurity コアルールセット (CRS) は、Content-Type を介して文字エンコーディングスキームを使用するペイロード、または Web アプリケーションファイヤーウォールエンジンとルールセットによってデコードおよび検査されない非推奨の Content-Transfer-Encoding マルチパート MIME ヘッダーフィールドを送信することにより、HTTP マルチパートリクエストの部分ルールセットバイパスの影響を受けます。したがって、マルチパートペイロードは検出をバイパスします。これらのエンコーディングスキームをサポートする脆弱なバックエンドが悪用される可能性があります。レガシー CRS バージョン 3.0.x と 3.1.x、ならびに現在サポートされているバージョン 3.2.1 と 3.3.2 が影響を受けます。インテグレーターとユーザーは、それぞれ 3.2.2 と 3.3.3 にアップグレードすることが推奨されます。これらの脆弱性に対する緩和策は、最新の ModSecurity バージョン(v2.9.6 / v3.0.8)のインストールに依存します。
 (CVE-2022-39956)

 - OWASP ModSecurity Core Rule Set (CRS) は、応答本文のバイパスの影響を受けます。クライアントは、エンコードされた形式で応答を受信するために、オプションの charset パラメーターを含む HTTP Accept ヘッダーフィールドを発行できます。charset によっては、この応答を Web アプリケーションのファイヤーウォールでデコードできない場合があります。したがって、通常は検出されるアクセスが制限されているリソースは、検出をバイパスする可能性があります。レガシー CRS バージョン 3.0.x と 3.1.x、ならびに現在サポートされているバージョン 3.2.1 と 3.3.2 が影響を受けます。インテグレーターとユーザーは、それぞれ 3.2.2 と 3.3.3 にアップグレードすることが推奨されます。
 (CVE-2022-39957)

 - OWASP ModSecurity Core Rule Set (CRS) は、小さなバイト範囲の HTTP Range ヘッダーフィールドを繰り返し送信することで、検出できない小さなデータセクションを順次漏洩させる応答本文のバイパスの影響を受けます。アクセスが通常は検出される制限されたリソースが、CRS を使用する Web アプリケーションファイヤーウォールによって保護されているにもかかわらず、バックエンドから漏洩する可能性があります。制限されたリソースの短いサブセクションは、パターンマッチング技術をバイパスし、検出されないアクセスを許可する可能性があります。レガシー CRS バージョン 3.0.x と 3.1.x、ならびに現在サポートされているバージョン 3.2.1 と 3.3.2 が影響を受けます。
 インテグレーターとユーザーは、それぞれ 3.2.2 と 3.3.3 にアップグレードし、CRS パラノイアレベルを 3 以上に構成することが推奨されます。(CVE-2022-39958)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受ける mod_security パッケージまたは mod_security_crs パッケージ (あるいは両方) を更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2022-90708b46e3

プラグインの詳細

深刻度: Critical

ID: 169143

ファイル名: fedora_2022-90708b46e3.nasl

バージョン: 1.0

タイプ: local

エージェント: unix

公開日: 2022/12/22

更新日: 2022/12/22

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2022-39956

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:fedoraproject:fedora:36, p-cpe:/a:fedoraproject:fedora:mod_security, p-cpe:/a:fedoraproject:fedora:mod_security_crs

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/10/7

脆弱性公開日: 2022/9/20

参照情報

CVE: CVE-2022-39955, CVE-2022-39956, CVE-2022-39957, CVE-2022-39958