Cacat parah Diidentifikasi dalam Set Aturan Inti ModSecurity OWASP

  • Whatsapp
Cacat parah Diidentifikasi dalam Set Aturan Inti ModSecurity OWASP

 

Bacaan Lainnya

Pengembang OWASP Foundation telah mengakui pelanggaran dalam proyek Open Web Application Security Project (OWASP) ModSecurity Core Rule Set (CRS) yang dapat memungkinkan pelaku ancaman untuk melewati perlindungan keamanan yang ditawarkan oleh firewall aplikasi web CRS (WAF) bawaan. .

Cacat – dilacak sebagai CVE-2021-35368 memiliki kemampuan untuk melewati CRS tanpa diperiksa, karena kombinasi dua bug dalam paket pengecualian aturan CRS Drupal. Cacat tidak hanya mempengaruhi paket pengecualian aturan CRS Drupal tetapi juga ada di setiap instalasi CRS yang menyertakan pengecualian aturan ini – terlepas dari apakah mereka diaktifkan atau tidak.

“Jika backend rusak dan dikonfigurasi dengan pengaturan informasi trailing pathname yang benar … maka segala sesuatu mungkin terjadi. Jika backend melihat ke info trailing path sebagaimana mestinya, maka Anda berada di sisi yang aman. Kerentanan telah ada selama beberapa tahun . Ketika kami melakukan paket pengecualian aturan awal pada tahun 2016 dan 2017, kami tidak benar-benar terbiasa dengan teknik penulisan aturan yang harus kami terapkan,” Christian Folini, co-lead dari proyek Core Rule Set yang dipimpin oleh sukarelawan menjelaskan.

Andrew Howe dari Loadbalancer.org mengidentifikasi kerentanan di mesin ModSecurity tahun lalu, kata Folini. Howe melaporkan dua kekurangan di CRS pada bulan Juni. Semua instalasi CRS yang dikenal yang menawarkan paket pengecualian aturan CRS yang telah ditentukan sebelumnya terpengaruh. Ini juga berlaku untuk CRS versi akhir masa pakai 3.0.x, 3.1.0, 3.1.1, serta versi 3.2.0 dan 3.3.0 yang saat ini didukung.

Folini menunjuk pada kurangnya dukungan keuangan sebagai penghalang utama dalam menjalankan proyek yang dipimpin oleh sukarelawan seperti CRS. “Sumber terbuka tidak secara inheren lebih aman daripada sumber tertutup – itu hanya berarti bahwa orang dapat melihat kodenya. Namun keuntungan keamanan hanya dapat dimainkan ketika orang benar-benar melihat kodenya, seperti yang dilakukan Andrew Howe, ”jelasnya.

“Jika kami memiliki ulasan ini, maka transparansi yang melekat pada proyek sumber terbuka akan membawa keuntungan dibandingkan perangkat lunak tradisional, yaitu dalam domain keamanan di mana pengguna benar-benar ingin melihat apa yang terjadi jauh di dalam perangkat lunak mereka.”

“Proyek sumber terbuka juga cenderung lebih terbuka tentang kekurangannya sehingga mereka sering dapat membangun lebih banyak kepercayaan dan keyakinan dengan basis pengguna mereka. Sebuah proyek komersial sering tergoda untuk menghindari pers yang buruk dengan menyimpan masalah di bawah karpet, atau menyembunyikan perbaikan di changelog,” tutup Folini.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *