Os programadores da OWASP Foundation admitiram recentemente a existência de uma falha sobre a Open Web Application Security Project (OWASP) ModSecurity Core Rule Set (CRS), um conjunto de regras normalmente usados para segurança de websites.
A falha identificada nas regras WAF poderia permitir aos atacantes contornarem a proteção fornecida por estas regras dentro do ModSecurity, e levar a que fosse possível executar código especifico de forma maliciosa em determinados websites.
A falha foi identificada no final do ano passado pelo programador Andrew Howe, que reportou a mesma em Junho deste ano, mas as mesmas ainda não terão sido corrigidas. A falha afeta praticamente todas as versões do CRS, incluindo as já não suportadas 3.0.x, 3.1.0, 3.1.1, mas também as versões mais recentes ainda suportadas, nomeadamente a 3.2.0 e 3.3.0.
Um dos principais problemas que tem vindo a atrasar a correção destas falhas encontra-se na falta de suporte que é fornecido diretamente para as regras do CRS. Apesar de as mesmas serem fornecidas em formato de código aberto para todos, isso não quer dizer que a comunidade realmente se encontra dedicada a analisar todo o código e lançar correções no mesmo quando são identificados problemas.
Por enquanto, a falha ainda permanece ativa, mas deverá ser brevemente corrigida nas versões atualmente suportadas do CRS.
Nenhum comentário
Seja o primeiro!