ヘルプ

本脆弱性に該当している場合には、改修済スクリプトファイルへの入替を推奨いたします。

 

入替手順は下記よりご確認をお願いします。
【3】XFF遮断入替手順はこちら
【4】REMOTE_ADDR遮断入替手順はこちら

ModSecurity遮断方式では、firewall-drop.shにて10桁のルールid採番（”固定値1(1桁)””時(2桁)””分(2桁)””ミリ秒(3桁)””10マイクロ秒(2桁)”）を行います。
ルールid採番後、modsecurity.shにより、modsecurity.confに遮断命令を書き込み、その後ApacheやNginxの設定読み込み（リロード）を行います。
ApacheやNginxのmodsecurity.confを読み込む際に、採番したルールidが重複している場合は、リロードエラーとなり、遮断命令が追加されない事象が発生します。

約10分後、重複したルールidを持つ遮断命令文が削除されるため、新たに検知された攻撃元IPアドレスが追加できない状況は約10分ほど発生します。
※すでに書き込まれている遮断命令は動作し続けますので、新規追加できないという事象となります。

 

modsecurity.confに書き込まれる遮断命令の例、赤字：ルールid）
”04時45分 XX秒 022ミリ秒79マイクロ秒“に同時採番されたケースでは以下のような命令文が入り、ルールidが重複しているため、リロードエラーとなり、遮断命令が10分程度追加されません。

SecRule REQUEST_HEADERS:X-Forwarded-For “@Contains 1.1.1.1"log,drop,id:1044502279, msg:'deny by ossec-agent’”
SecRule REQUEST_HEADERS:X-Forwarded-For “@Contains 2.2.2.2" "log,drop,id:1044502279, msg:'deny by ossec-agent’”

 

本勢脆弱性は、多数の送信元IPアドレスから、短時間に大量の攻撃リクエストが発生した場合に発生する可能性があります。
また、ルールid採番に“秒“を含めていないため、各1分間において、ミリ秒(3桁)と10マイクロ秒(2桁)が重複した場合にも発生します。（毎秒毎に重複の可能性）

脆弱性に該当しているかにつきましてはこちらの確認フローよりご確認ください。

 

確認フローの中で用いる手順は下記よりご確認をお願いします。
【1】遮断方式確認手順はこちら
【2】入替方式確認手順はこちら

こちらより修正済スクリプトが梱包されているファイルをダウンロードできます。

※取得したファイルにつきましては、ファイル名とハッシュ値を確認してください。

修正済スクリプトファイル名：mod_security_v2.tar
mod_security_v2.tarのsha256sumハッシュ値：8829e6a228e52c3712ea29b3234e9a88a06b67bf45aecdfe4c03c524d53ca237