Vigil@nce : ModSecurity Core Rule Set, contournement des règles avec MIME
juin 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer une requête HTTP avec un type MIME
spécial, afin de contourner les règles de sécurité de ModSecurity
Core Rule Set.
– Gravité : 1/4
– Date création : 18/06/2012
PRODUITS CONCERNÉS
– Unix - plateforme
DESCRIPTION DE LA VULNÉRABILITÉ
L’administrateur de ModSecurity peut choisir d’installer ses
propres règles, ou les règles ModSecurity CRS (Core Rule Set).
CRS contient une règle qui bloque les types MIME inconnus
(variable "tx.allowed_request_content_type" définie dans
modsecurity_crs_10_config.conf et utilisée dans
modsecurity_crs_30_http_policy.conf).
Cette règle vérifie si le type fait partie de la chaîne
"application/x-www-form-urlencoded multipart/form-data text/xml
application/xml application/x-amf". Cependant, un attaquant peut
employer un type MIME qui soit une sous-chaîne (par exemple
"application/x"). Ce type MIME est alors accepté comme étant
valide.
Un attaquant peut donc employer une requête HTTP avec un type MIME
spécial, afin de contourner les règles de sécurité de ModSecurity
Core Rule Set.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/ModSecurity-Core-Rule-Set-contournement-des-regles-avec-MIME-11720