ModSecurity 拒绝服务漏洞 (CVE-2019-19886) 复现

栏目: IT技术 · 发布时间: 4年前

内容简介:作者: key本文利用Github Commit代码对比的方式进行跟踪复现2020年1月20日,Trustwave SpiderLabs公开了其维护的开源WAF引擎ModSecurity的1个拒绝服务(DoS)漏洞,漏洞编号为:CVE-2019-19886。此漏洞影响ModSecurity的3.0到3.0.3版本。

ModSecurity 拒绝服务漏洞 (CVE-2019-19886) 复现

作者: key

本文利用Github Commit代码对比的方式进行跟踪复现

背景

2020年1月20日,Trustwave SpiderLabs公开了其维护的开源WAF引擎ModSecurity的1个拒绝服务(DoS)漏洞,漏洞编号为:CVE-2019-19886。此漏洞影响ModSecurity的3.0到3.0.3版本。

漏洞描述

ModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),被称为WAF界的“瑞士军刀”。它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。

2020年1月21日,ModSecurity的维护组织Trustwave公开了影响ModSecurity 3.0至3.0.3版本的1个拒绝服务漏洞,漏洞编号为 CVE-2019-19886,漏洞详情如下:

在ModSecurity 3.0到3.0.3版本中,存在cookie解析问题。通过构造格式错误的HTTP Cookie头发送到运行ModSecurity的Nginx的服务器,会导致out_of_range异常。在结合Nginx web服务器使用ModSecurity的常用情况下,该异常将使nginx工作线程(负责处理请求的线程)崩溃。不断向服务器发送此类请求将使工作线程反复崩溃。如果发送请求的速度快于工作线程恢复的速度,将导致服务器拒绝服务。

漏洞跟踪

通过Github项目的releases跟踪: https://github.com/SpiderLabs/ModSecurity/releases

ModSecurity 拒绝服务漏洞 (CVE-2019-19886) 复现

发现了airween的一个pr: https://github.com/SpiderLabs/ModSecurity/pull/2201

被官方采纳并归并到了 v3/master

ModSecurity 拒绝服务漏洞 (CVE-2019-19886) 复现

来看看他究竟修改了什么: https://github.com/SpiderLabs/ModSecurity/pull/2201/commits/c7ad6c7613de3c1ac2ad1b4055f0ded22b522027

存在漏洞的代码如下:

ModSecurity 拒绝服务漏洞 (CVE-2019-19886) 复现

可以看见这里将Cookie的值带入代码,先以 ; 符号进行分割,进入for循环,再以 = 符号进行分割赋值,而后使用正常数组下标的表达方式进入功能中,那么问题出在了哪里?

我们再来看修复的代码:

ModSecurity 拒绝服务漏洞 (CVE-2019-19886) 复现

简单阅读代码和注释就能了解到,它就是处理两种非正常的Cookie值: Cookie: ;;foo=bar \ Cookie: =bar;

换句话说就是ModSecurity原来在处理Cookie内容的时候过于信任用户的输入,这也是安全的一个大忌讳: 一切用户的输入都是不可信的

为什么会拒绝服务呢?可以理解为数组越界,类似:

ModSecurity 拒绝服务漏洞 (CVE-2019-19886) 复现

漏洞测试

很明显,通过漏洞跟踪已经知道了漏洞攻击方式那就是构建恶意(畸形)的 Cookie

Curl命令测试: curl -s -H 'Cookie: =test' 'http://test/'

ModSecurity 拒绝服务漏洞 (CVE-2019-19886) 复现

根据奇安信CERT的描述: 不断向服务器发送此类请求将使工作线程反复崩溃 ,那我们可以重复这个请求造成拒绝服务效果。

Reference

奇安信CERT: https://mp.weixin.qq.com/s/MwGroFA_sKxzrwXa50XZgw

Github: https://github.com/SpiderLabs/ModSecurity/pull/2201/commits/c7ad6c7613de3c1ac2ad1b4055f0ded22b522027


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

秩序之美

秩序之美

Vinh / 人民邮电 / 2011-5 / 35.00元

怎样才能设计出简洁大方而不落于俗套的超人气网站?纽约时报网站的资深设计师Khoi Vinh在这《秩序之美——网页中的网格设计》一书中将为你揭示其中的奥秘。   《秩序之美——网页中的网格设计》将源自传统平面设计、被众多平面设计大师推崇的网格设计方法应用于网页设计,向读者详细介绍了网格设计成熟而经典的设计模式,并以整个网站的设计为例,对工作流程、设计工具和方法进行了系统而全面的介绍,手把手教读......一起来看看 《秩序之美》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具