遠端 Redhat Enterprise Linux 8 主機上安裝的套件受到 RHSA-2023: 4408 公告中提及的一個弱點影響。

  - OpenIDC/cjose 是實作 Javascript Object Signing and Encryption (JOSE) 的 C 程式庫。AES GCM 解密常式未正確使用 JWE 中提供的實際驗證標籤中的標籤長度。
    規格說明必須套用 16 個八位元的固定長度。因此，此錯誤允許攻擊者提供截斷的驗證標籤，並據此修改 JWE。使用者應升級至 0.6.2.2 或更高版本。無法升級的使用者應避免使用 AES GCM 加密，並以其他加密演算法 (例如 AES CBC) 取代。(CVE-2023-37464)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

RHEL 8：mod_auth_openidc: 2.3 (RHSA-2023: 4408)

high Nessus Plugin ID 179152

版本 1.5