Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

モジュール型WAF「ModSecurity」がアップデート - セキュリティ上の複数問題へ対処

Trustwaveは、ウェブアプリケーションファイアウォール(WAF)の最新版「ModSecurity 3.0.8」「同2.9.6」をリリースした。

同製品は、Apache HTTP Serverをはじめ、NginxやIISなどウェブサーバのモジュールとして動作するオープンソースのWAF。今回のアップデートでは、バグの修正にくわえて、複数のセキュリティ上の問題を修正した。

特定ルールに対してバイパスが可能となることが明らかとなり対処したもので、具体的にはマルチパート解析の修正、パーサーの有効化ルールについての調整などを実施したという。CVE番号は採番されていない。

OWASPなどサードパーティの最新のルールセットにおいて、新バージョンに依存するケースなどもあるため、それぞれの動作環境を確認した上でアップデートなど対処する必要がある。

(Security NEXT - 2022/09/29 ) このエントリーをはてなブックマークに追加

PR

関連記事

「MS Edge」にアップデート - 「クリティカル」とされる脆弱性を解消
Samsung製スマホなどの既知脆弱性が攻撃の標的に - 米政府が注意喚起
オープンデータ公開基盤の「CKAN」に深刻な脆弱性
ワコム製タブレットのmacOS向けドライバインストーラーに脆弱性
「Apache Tomcat」に脆弱性 - 過去の修正が不完全で
「NSX-T」にXSS脆弱性、アップデートがリリース
複数Apple製品が影響を受ける脆弱性 - 米政府が注意喚起
ウェブ開発フレームワーク「CodeIgniter4」にRCE脆弱性
「WordPress」が再度セキュリティ更新 - 前回から4日で
キヤノン製の小規模向け複合機やプリンタに複数脆弱性