Debian DLA-3409-1：libapache2-mod-auth-openidc - LTS 安全性更新

medium Nessus Plugin ID 174970

語言:

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 10 主機上安裝的一個套件受到 dla-3409 公告中提及的多個弱點影響。

在 2.4.1 版之前的 mod_auth_openidc 中發現一個缺陷。開頭帶有斜線和反斜線的 URL 中存在開放重新導向問題。 (CVE-2019-20479)

- mod_auth_openidc 是 Apache 2.x HTTP 伺服器的驗證/授權模組，做為 OpenID Connect 依賴方提供服務，為 OpenID Connect 提供者驗證使用者的身分。如果將 mod_auth_openidc 2.4.9 之前的版本設定為使用未加密的 Redis 快取 (`OIDCCacheEncrypt off`、`OIDCSessionType server-cache`、`OIDCCacheType redis`)，`mod_auth_openidc` 會在將 Redis 要求傳遞至 `hiredis` 之前錯誤地執行引數插補，從而造成系統再次執行此動作，並導致不受控制的格式字串錯誤。初步評估顯示，攻擊者似乎無法使用此錯誤執行任意程式碼，但可藉由重複使 Apache 背景工作當機來引發拒絕服務。此錯誤已在 2.4.9 版中更正，使用「hiredis」API 僅執行一次引數插值。因應措施為將「OIDCCacheEncrypt」設為「on」，以減輕此弱點的影響，這是因為啟用此選項時，快取金鑰會在使用前以密碼編譯方式進行雜湊。(CVE-2021-32785)

- mod_auth_openidc 是 Apache 2.x HTTP 伺服器的驗證/授權模組，做為 OpenID Connect 依賴方提供服務，為 OpenID Connect 提供者驗證使用者的身分。在 2.4.9 之前版本中，「oidc_validate_redirect_url()」剖析 URL 的方式與大多數瀏覽器都不同。因此，此函式可能會遭到繞過，並導致登出功能中出現開放重新導向弱點。此錯誤已在 2.4.9 版本中修正，方法是將要重新導向的 URL 的任何反斜線替換為斜線，以解決不同規格之間的特定中斷變更 (RFC2396/RFC3986 和 WHATWG)。有一種因應措施是，將「mod_auth_openidc」設定為僅允許目的地符合指定規則運算式的重新導向，以減輕此弱點造成的影響。
(CVE-2021-32786)

- mod_auth_openidc 是 Apache 2.x HTTP 伺服器的驗證/授權模組，做為 OpenID Connect 依賴方提供服務，為 OpenID Connect 提供者驗證使用者的身分。在 mod_auth_openidc 2.4.9 之前版本中，mod_auth_openidc 中的 AES GCM 加密使用靜態 IV 和 AAD。修正此問題很重要，因為這會導致建立靜態 nonce，而且由於 aes-gcm 是資料流密碼，這可能會導致已知的密碼編譯問題，因為系統會重複使用相同的金鑰。自 2.4.9 版本開始，此問題已透過使用 cjose AES 加密常式修補為使用動態值。(CVE-2021-32791)

- mod_auth_openidc 是 Apache 2.x HTTP 伺服器的驗證/授權模組，做為 OpenID Connect 依賴方提供服務，為 OpenID Connect 提供者驗證使用者的身分。在 mod_auth_openidc 2.4.9 之前版本中使用「OIDCPreservePost On」時，出現一個 XSS 弱點。
(CVE-2021-32792)

- mod_auth_openidc 是一個驗證與授權模組，適用於實作了 OpenID Connect Relying Party 功能的 Apache 2.x HTTP 伺服器。在 2.0.0 至 2.4.13.1 版中，設定 `OIDCStripCookies` 並提供特製的 Cookie 時，會發生 NULL 指標解除參照，進而導致區段錯誤。這可被用於拒絕服務攻擊，因此存在可用性風險。 2.4.13.2 版包含針對此問題的修補程式。因應措施為避免使用 `OIDCStripCookies`。(CVE-2023-28625)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。