解决 ModSecurity 中的 DoS 漏洞 (CVE-2020-15598)

[编辑– NGINX Plus 的NGINX ModSecurity WAF模块于2022 年 4 月 1 日正式停止销售，并将于2024 年 3 月 31 日停止使用。 有关更多详细信息，请参阅我们博客上的“F5 NGINX ModSecurity WAF 正在过渡到终止使用<.htmla>”。]

2020 年 9 月 14 日，OWASP ModSecurity 核心规则集 (CRS) 团队发布了 ModSecurity 中漏洞的详细信息。 该漏洞的标识符为CVE-2020-15598 ，但截至撰写本文时尚未公布详细信息。 Trustwave 对此事的性质提出质疑，ModSecurity 项目的维护者，他针对问题行为提出了缓解措施。

该问题可能会影响 NGINX Plus 的NGINX ModSecurity WAF模块，该模块基于当前的 ModSecurity 3.0.4 版本。 F5 的 NGINX 团队与记者合作，验证了他们推荐的更新并将其应用于最新版本的 NGINX ModSecurity WAF（针对NGINX Plus R20、R21 和 R22 ）。

有关该问题的更多详细信息，请参阅以下资源：

• OWASP CRS 团队： CVE-2020-15598 - ModSecurity v3 受到 DoS 影响（严重性高）
• 信任浪潮： ModSecurity、正则表达式和有争议的CVE-2020-15598
• Mitre.org： CVE-2020-15598 （目前保留，未公布）

F5 的 NGINX 产品团队感谢 NetNEA 的Christian Folini和 CRS 开发人员Ervin Hegedüs为 NGINX ModSecurity WAF 创建补丁提供的支持。 我们强烈建议 NGINX Plus 用户将其 NGINX ModSecurity WAF 模块升级到NGINX Plus R20、R21 或 R22 的最新版本。

正在运行版本的订阅者20-1.0.0-12，21-1.0.1-2 ， 或者22-1.0.1-2或更高版本的nginx-plus-module-modsecurity包不会出现此问题。 要确认安装的版本，可以运行以下命令：

• Ubuntu 及相关平台：

# apt list --installed nginx-plus-module-modsecurity列表... 完成 nginx-plus-module-modsecurity/stable，现在 22+1.0.1-2~focal amd64 [已安装]

• Red Hat Enterprise Linux 和相关平台：

  # yum 列表 --已安装 nginx-plus-module-modsecurity nginx-plus-module-modsecurity.x86_64 22+1.0.1-2.el8.ngx @nginx-plus

如果您需要任何帮助，请联系 F5 的 NGINX 支持代表。

如果使用私有开源版本的 ModSecurity，请参考 GitHub 上的官方 Trustwave SpiderLabs ModSecurity 存储库，考虑Trustwave 提出的替代缓解措施，并评估OWASP CRS 团队提供的补丁。 如果您使用来自其他来源的 ModSecurity，请联系该来源的维护者或考虑 OWASP CRS 团队和 TrustWave 描述的缓解措施。

[NGINX Plus 的 NGINX ModSecurity WAF 模块于2022 年 4 月 1 日正式停止销售，并将于2024 年 3 月 31 日停止使用。 有关更多详细信息，请参阅我们博客上的“F5 NGINX ModSecurity WAF 正在过渡到终止使用<.htmla>”。]