阿里云漏洞库

漏洞描述

ModSecurity是一个入侵检测、阻止的引擎可以作为Apache Web服务器的一个模块或单独的应用程序来运行，为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的攻击。

ModSecurity 3.x 到 3.0.5 存在安全漏洞，该漏洞源于 ModSecurity 错误处理了过度嵌套的 JSON 对象。精心制作的具有数万层嵌套深度的 JSON 对象可能会导致 Web 服务器无法为合法请求提供服务。即使是中等大小（例如 300KB）的 HTTP 请求也可能占用一个有限的 NGINX 工作进程数分钟，并消耗机器上几乎所有可用的 CPU。

解决建议

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/modsecurity-dos-vulnerability-in-json-parsing-cve-2021-42717/

参考链接
https://lists.debian.org/debian-lts-announce/2022/05/msg00042.html
https://www.debian.org/security/2021/dsa-5023
https://www.oracle.com/security-alerts/cpuapr2022.html
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/modsecurity-d...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	f5	nginx_modsecurity_waf	r24	-
	运行在以下环境
	应用	f5	nginx_modsecurity_waf	r25	-
	运行在以下环境
	应用	trustwave	modsecurity	*	From (including) 2.0.0	Up to (excluding) 2.9.5
	运行在以下环境
	应用	trustwave	modsecurity	*	From (including) 3.0.0	Up to (excluding) 3.0.6
	运行在以下环境
	系统	debian_12	modsecurity	*		Up to (excluding) 2.9.5-1
	运行在以下环境
	系统	debian_9	modsecurity-apache	*		Up to (excluding) 2.9.1-2+deb9u1
	运行在以下环境
	系统	fedora_EPEL_7	libmodsecurity	*		Up to (excluding) 3.0.9-2.el7
	运行在以下环境
	系统	kylinos_aarch64_V10SP1	mod_security	*		Up to (excluding) 2.9.5-1.ky10
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	mod_security	*		Up to (excluding) 2.9.5-1.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP1	mod_security	*		Up to (excluding) 2.9.5-1.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	mod_security	*		Up to (excluding) 2.9.5-1.ky10
	运行在以下环境
	系统	opensuse_Leap_15.4	modsecurity	*		Up to (excluding) 3.0.10-bp154.2.3.1
	运行在以下环境
	系统	opensuse_Leap_15.5	modsecurity	*		Up to (excluding) 3.0.10-bp155.3.3.1
	运行在以下环境
	系统	ubuntu_20.04	modsecurity-apache	*		Up to (excluding) 2.9.3-1ubuntu0.1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

全局影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-674	未经控制的递归

中危 ModSecurity安全漏洞

漏洞描述

解决建议

参考链接

受影响软件情况