ModSecurity의 DoS 취약점(CVE-2020-15598) 해결

[ 편집자 - NGINX Plus용 NGINX ModSecurity WAF 모듈은 2022년 4월 1 일부로 공식적으로 판매 종료 되었으며 2024년 3월 31 일부로 수명 종료 로 전환됩니다. 자세한 내용은 블로그의 F5 NGINX ModSecurity WAF가 수명 종료로 전환 중입니다<.htmla>를 참조하세요.]

2020년 9월 14 일, OWASP ModSecurity Core Rule Set(CRS) 팀은 ModSecurity의 취약점에 대한 세부 정보를 공개했습니다 . 이 취약점에는 CVE-2020-15598이라는 식별자가 지정되었지만, 이 글을 쓰는 시점까지 자세한 내용은 공개되지 않았습니다. Trustwave에서는 문제의 본질에 대해 논쟁을 벌이고 있습니다.ModSecurity 프로젝트의 유지 관리자로서, 문제가 되는 동작에 대한 완화책을 제안했습니다.

이 문제는 현재 ModSecurity 3.0.4 릴리스를 기반으로 하는 NGINX Plus용 NGINX ModSecurity WAF 모듈에 영향을 미칠 수 있습니다. F5의 NGINX 팀은 보고자와 협력하여 최신 NGINX ModSecurity WAF 릴리스( NGINX Plus R20, R21, R22 용)에 권장하는 업데이트를 검증하고 적용했습니다.

해당 문제에 대한 자세한 내용은 다음 자료를 참조하세요.

• OWASP CRS 팀: CVE-2020-15598 – DoS의 영향을 받는 ModSecurity v3(심각도 높음)
• 트러스트웨이브: ModSecurity, 정규 표현식 및 분쟁 CVE-2020-15598
• Mitre.org: CVE-2020-15598 (현재 예약됨, 공개되지 않음)

F5의 NGINX 제품 팀은 NGINX ModSecurity WAF에 대한 패치 생성을 지원해준 NetNEA의 Christian Folini 와 CRS 개발자 Ervin Hegedüs 에게 감사드리고 있습니다. NGINX Plus 구독자분들은 NGINX ModSecurity WAF 모듈을 최신 버전인 NGINX Plus R20, R21 또는 R22로 업그레이드하시기를 적극 권장합니다.

버전을 실행 중인 구독자20-1.0.0-12 ,21-1.0.1-2 , 또는22-1.0.1-2 nginx-plus-module-modsecurity 패키지 중 이후 버전을 사용하면 이 문제로부터 보호됩니다. 설치된 버전을 확인하려면 다음 명령을 실행하세요.

• Ubuntu 및 관련 플랫폼:

# apt list --installed nginx-plus-module-modsecurity 나열... nginx-plus-module-modsecurity/stable 완료, 이제 22+1.0.1-2~focus amd64 [설치됨]

• Red Hat Enterprise Linux 및 관련 플랫폼:

  # yum list --설치됨 nginx-plus-module-modsecurity nginx-plus-module-modsecurity.x86_64 22+1.0.1-2.el8.ngx @nginx-plus

도움이 필요하면 F5로 NGINX 지원 담당자에게 문의하세요.

ModSecurity의 비공개 오픈 소스 빌드를 사용하는 경우 GitHub의 공식 Trustwave SpiderLabs ModSecurity 저장소 를 참조하고 Trustwave에서 제안한 대체 완화책을 고려하고 OWASP CRS 팀 에서 제공한 패치를 평가하세요. 다른 출처에서 ModSecurity를 사용하는 경우 해당 출처의 관리자에게 문의하거나 OWASP CRS 팀과 TrustWave에서 설명하는 완화책을 고려하세요.

[NGINX Plus용 NGINX ModSecurity WAF 모듈은 2022년 4월 1 일부로 공식적으로 판매 종료 되었으며, 2024년 3월 31일 부터 지원 종료 로 전환됩니다. 자세한 내용은 블로그의 F5 NGINX ModSecurity WAF가 수명 종료로 전환 중입니다<.htmla>를 참조하세요.]