概要
リモートの Debian ホストに 1 つまたは複数のセキュリティ関連の更新プログラムがありません。
説明
リモートの Debian 10 ホストには、dla-3293 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。
- SQL インジェクションバイパス (別名 PL1 バイパス) が、{`a`b} を介して v3.1.0-rc3 までの OWASP ModSecurity Core Rule Set (owasp-modsecurity-crs) に存在します。ここで、a は特別な関数名 (if など) で、b は実行される SQL ステートメントを表します。(CVE-2018-16384)
- Modsecurity owasp-modsecurity-crs 3.2.0 (PL1 の Paranoia レベル) に、SQL インジェクションバイパスの脆弱性があります。
攻撃者は、SQL 構文のコメント文字と変数の割り当てを使用して Modsecurity WAF 保護をバイパスし、Web アプリケーションに SQL インジェクション攻撃を行います。(CVE-2020-22669)
- OWASP ModSecurity コアルールセット 3.1.x より前の 3.1.2、3.2.x より前の 3.2.1、および 3.3.x より前の 3.3.2 は、末尾のパス名を介してリクエスト本文バイパスの影響を受けます。(CVE-2021-35368)
- OWASP ModSecurity Core Rule Set (CRS) は、複数の文字エンコーディングスキームを示す特別に細工された HTTP Content-Type ヘッダーフィールドを送信することによる、部分的なルールセットバイパスの影響を受けます。複数の Content-Type charset 名を宣言し、構成可能な CRS Content-Type ヘッダー charset 許可リストをバイパスすることで、脆弱なバックエンドが悪用される可能性があります。エンコードされたペイロードは、この方法で CRS 検出をバイパスし、バックエンドによってデコードされる可能性があります。レガシー CRS バージョン 3.0.x と 3.1.x、ならびに現在サポートされているバージョン 3.2.1 と 3.3.2 が影響を受けます。インテグレーターとユーザーは、それぞれ 3.2.2 と 3.3.3 にアップグレードすることが推奨されます。(CVE-2022-39955)
- OWASP ModSecurity コアルールセット (CRS) は、Content-Type を介して文字エンコーディングスキームを使用するペイロード、または Web アプリケーションファイヤーウォールエンジンとルールセットによってデコードおよび検査されない非推奨の Content-Transfer-Encoding マルチパート MIME ヘッダーフィールドを送信することにより、HTTP マルチパートリクエストの部分ルールセットバイパスの影響を受けます。したがって、マルチパートペイロードは検出をバイパスします。これらのエンコーディングスキームをサポートする脆弱なバックエンドが悪用される可能性があります。レガシー CRS バージョン 3.0.x と 3.1.x、ならびに現在サポートされているバージョン 3.2.1 と 3.3.2 が影響を受けます。インテグレーターとユーザーは、それぞれ 3.2.2 と 3.3.3 にアップグレードすることが推奨されます。これらの脆弱性に対する緩和策は、最新の ModSecurity バージョン(v2.9.6 / v3.0.8)のインストールに依存します。
(CVE-2022-39956)
- OWASP ModSecurity Core Rule Set (CRS) は、応答本文のバイパスの影響を受けます。クライアントは、エンコードされた形式で応答を受信するために、オプションの charset パラメーターを含む HTTP Accept ヘッダーフィールドを発行できます。charset によっては、この応答を Web アプリケーションのファイヤーウォールでデコードできない場合があります。したがって、通常は検出されるアクセスが制限されているリソースは、検出をバイパスする可能性があります。レガシー CRS バージョン 3.0.x と 3.1.x、ならびに現在サポートされているバージョン 3.2.1 と 3.3.2 が影響を受けます。インテグレーターとユーザーは、それぞれ 3.2.2 と 3.3.3 にアップグレードすることが推奨されます。
(CVE-2022-39957)
- OWASP ModSecurity Core Rule Set (CRS) は、小さなバイト範囲の HTTP Range ヘッダーフィールドを繰り返し送信することで、検出できない小さなデータセクションを順次漏洩させる応答本文のバイパスの影響を受けます。アクセスが通常は検出される制限されたリソースが、CRS を使用する Web アプリケーションファイヤーウォールによって保護されているにもかかわらず、バックエンドから漏洩する可能性があります。制限されたリソースの短いサブセクションは、パターンマッチング技術をバイパスし、検出されないアクセスを許可する可能性があります。レガシー CRS バージョン 3.0.x と 3.1.x、ならびに現在サポートされているバージョン 3.2.1 と 3.3.2 が影響を受けます。
インテグレーターとユーザーは、それぞれ 3.2.2 と 3.3.3 にアップグレードし、CRS パラノイアレベルを 3 以上に構成することが推奨されます。(CVE-2022-39958)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
modsecurity-crs パッケージをアップグレードしてください。
Debian 10 buster では、これらの問題はバージョン 3.2.3-0+deb10u3 で修正されています。
プラグインの詳細
ファイル名: debian_DLA-3293.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:debian:debian_linux:modsecurity-crs, cpe:/o:debian:debian_linux:10.0
必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
エクスプロイトの容易さ: Exploits are available