OWASP ModSecurity Core Rule Set (CRS)

Refer: 

tunCERT/Vuln.2021-298

Version: 

1.0

Date version: 

2021-07-06

Score cvss: 

8.00

Classification: 

  • Critique

Impact: 

  • Perte de confidentialité
  • Perte d'intégrité

Plateforme: 

  • Indépendant de la Plate-forme

Conséquence: 

Perte de confidentialité

Logiciels impactés (s) :

ModSecurity

  • OWASP ModSecurity Core Rule Set (CRS) 3.0.x, 3.1.0, 3.1.1, 3.2.0 et 3.3.0

Description: 

Une vulnérabilité à été signalée dans OWASP ModSecurity Core Rule Set (CRS) à cause d'une mise en œuvre insuffisante des mesures de sécurité dans le jeu de règles CRS par défaut. L'exploitation de cette faille pourrait permettre à un attaquant distant de contourner les restrictions de sécurité mises en œuvre.

Solution: 

Mettre à jour OWASP ModSecurity Core Rule Set (CRS)
CRS v3.3.2 release

Lien: 

https://raw.githubusercontent.com/coreruleset/coreruleset/v3.3/master/CHANGES
CRS v3.2.1 release

Lien: 

https://raw.githubusercontent.com/coreruleset/coreruleset/v3.2/master/CHANGES
CRS v3.1.2 release

Lien: 

https://raw.githubusercontent.com/coreruleset/coreruleset/v3.1/master/CHANGES

Identificants du problème: 

CVE-2021-35368

Documentation additionnelle: 

Bulletin de sécurité coreruleset
https://coreruleset.org/20210630/cve-2021-35368-crs-request-body-bypass/

Date de publication: 

2021-07-06

Référence: 

298