Hallo,
ich habe hier ein kleines Problem mit einer HTML-Formular-Webanwendung, die über die Web Application Firewall (UTM 9.106) geschützt wird. Wenn die Virenscanner im Firewall-Profil des virtuellen Webservers eingeschaltet sind (egal ob Single- oder Dual-Scan), erhalte ich am Client-Browser beim "POST" die Meldung "Bad request - Your browser sent a request that this server could not understand". Im WAF-Protokoll werden folgende Fehler geschrieben:
2013:10:17-10:49:48 fw-1 reverseproxy: [Thu Oct 17 10:49:48.244393 2013] [security2:error] [pid 11562:tid 3946990448] [client xx.xx.***.xx] ModSecurity: Access denied with code 400 (phase 2). File "/tmp/20131017-104948-Ul@krFlq3EUAAC0qmYEAAADW-file-AdHqgq" rejected by the approver script "/usr/apache/bin/modsecurity_av.sh DualScan PassUnscannable": 0 empty: empty file [file "/usr/apache/conf/reverseproxy.conf"] [line "49"] [msg "Virus found in upload"] [hostname "webserver.domain.de"] [uri "/cgi-bin/fs/dbeonline.exe"] [unique_id "Ul@krFlq3EUAAC0qmYEAAADW"]
2013:10:17-10:49:48 fw-1 reverseproxy: srcip="xx.xx.***.xx" localip="xx.xx.***.xx" size="226" user="-" host="xx.xx.***.xx" method="POST" statuscode="400" reason="waf" extra="Virus found in upload" time="7308" url="/cgi-bin/fs/dbeonline.exe" server="webserver.domain.de" referer="webserver.domain.de/.../FSFormulare.shtml" cookie="-" set-cookie="-"
Virus ist aber definitiv keiner dabei, da werden nur über ein HTML-Formular Daten gepostet.
Scheint wohl so, als ob da ein false-positive oder ein übereifriger Behaviour-Blocker aktiv wird.
Kann man das irgendwie umgehen, ohne die Virenscanner abzuschalten oder ist das ein Bug?
Gruß
XACT
This thread was automatically locked due to age.
