Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-00191

Опубликовано: 07 дек. 2021
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость модуля Apache для усиления безопасности веб-приложений modsecurity-apache связана с ошибками при обработке JSON-объектов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
SpiderLabs

Наименование ПО

Debian GNU/Linux
ModSecurity

Версия ПО

10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
от 2.0.0 до 2.9.5 (ModSecurity)
от 3.0.0 до 3.0.6 (ModSecurity)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для modsecurity-apache:
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/modsecurity-dos-vulnerability-in-json-parsing-cve-2021-42717/
Для Debian GNU/Linux:
https://www.debian.org/security/2021/dsa-5023

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 83%
0.0204
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-42717

CVSS3: 7.5
ubuntu
около 4 лет назад

ModSecurity 3.x through 3.0.5 mishandles excessively nested JSON objects. Crafted JSON objects with nesting tens-of-thousands deep could result in the web server being unable to service legitimate requests. Even a moderately large (e.g., 300KB) HTTP request can occupy one of the limited NGINX worker processes for minutes and consume almost all of the available CPU on the machine. Modsecurity 2 is similarly vulnerable: the affected versions include 2.8.0 through 2.9.4.

nvd логотип

CVE-2021-42717

CVSS3: 7.5
nvd
около 4 лет назад

ModSecurity 3.x through 3.0.5 mishandles excessively nested JSON objects. Crafted JSON objects with nesting tens-of-thousands deep could result in the web server being unable to service legitimate requests. Even a moderately large (e.g., 300KB) HTTP request can occupy one of the limited NGINX worker processes for minutes and consume almost all of the available CPU on the machine. Modsecurity 2 is similarly vulnerable: the affected versions include 2.8.0 through 2.9.4.

debian логотип

CVE-2021-42717

CVSS3: 7.5
debian
около 4 лет назад

ModSecurity 3.x through 3.0.5 mishandles excessively nested JSON objec ...

github логотип

GHSA-w3vf-7fpc-9fww

CVSS3: 7.5
github
около 4 лет назад

ModSecurity 3.x through 3.0.5 mishandles excessively nested JSON objects. Crafted JSON objects with nesting tens-of-thousands deep could result in the web server being unable to service legitimate requests. Even a moderately large (e.g., 300KB) HTTP request can occupy one of the limited NGINX worker processes for minutes and consume almost all of the available CPU on the machine. Modsecurity 2 is similarly vulnerable: the affected versions include 2.8.0 through 2.9.4.

suse-cvrf логотип

openSUSE-SU-2023:0269-1

suse-cvrf
больше 2 лет назад

Security update for modsecurity

EPSS

Процентиль: 83%
0.0204
Низкий

7.5 High

CVSS3

7.8 High

CVSS2