ModSecurity 拒绝服务漏洞 (CVE-2019-19886) 复现
作者: key
本文利用Github Commit代码对比的方式进行跟踪复现
背景
2020年1月20日,Trustwave SpiderLabs公开了其维护的开源WAF引擎ModSecurity的1个拒绝服务(DoS)漏洞,漏洞编号为:CVE-2019-19886。此漏洞影响ModSecurity的3.0到3.0.3版本。
漏洞描述
ModSecurity是一个开源的、跨平台的Web应用防火墙(WAF),被称为WAF界的“瑞士军刀”。它可以通过检查Web服务接收到的数据,以及发送出去的数据来对网站进行安全防护。 2020年1月21日,ModSecurity的维护组织Trustwave公开了影响ModSecurity 3.0至3.0.3版本的1个拒绝服务漏洞,漏洞编号为 CVE-2019-19886,漏洞详情如下: 在ModSecurity 3.0到3.0.3版本中,存在cookie解析问题。通过构造格式错误的HTTP Cookie头发送到运行ModSecurity的Nginx的服务器,会导致out_of_range异常。在结合Nginx web服务器使用ModSecurity的常用情况下,该异常将使nginx工作线程(负责处理请求的线程)崩溃。不断向服务器发送此类请求将使工作线程反复崩溃。如果发送请求的速度快于工作线程恢复的速度,将导致服务器拒绝服务。
漏洞跟踪
通过Github项目的releases跟踪: https://gi