偵測

Amazon Linux 2023mod_auth_openidc (ALAS2023-2025-1188)

high Nessus Plugin ID 264829

語言:

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此,它會受到 ALAS2023-2025-1188 公告中提及的一個弱點影響。

 mod_auth_openidc 是一種適用於 Apache 2.x HTTP 伺服器的 OpenID Certified 驗證和授權模組可實作 OpenID Connect Relying Party 功能。 2.4.16.11之前的版本中mod_auth_openidc 中的一個錯誤會導致將受保護的內容洩漏給未經驗證的使用者。洩漏的條件為 OIDCProviderAuthRequestMethod POST、有效帳戶且不得有任何應用程式層級的閘道 (或負載平衡器等) 保護伺服器。當您要求受保護的資源時,回應會包含 HTTP 狀態、HTTP 標頭、預定的回應 (自我提交表單) 和受保護的資源 (不含任何標頭)。這是受保護資源要求的範例包括傳回的所有資料。在 mod_auth_openidc 傳回表單的情況下它必須從 check_userid 傳回 OK以免發生 httpd 中的錯誤路徑。這表示 httpd 會嘗試發出受保護的資源。提早呼叫 oidc_content_handler其有機會防止 httpd 發出正常輸出。 oidc_content_handler 會在其介入時進行多項檢查但它不會針對此情況進行檢查因此處理常式會傳回 DECLINED。因此httpd 會將受保護的內容附加至回應。此問題已在 mod_auth_openidc >= 2.4.16.11版本中修補。 (CVE-2025-31492)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

執行「dnf update mod_auth_openidc --releasever 2023.8.20250915」或/或「dnf update --advisory ALAS2023-2025-1188 --releasever 2023.8.20250915」以更新系統。

另請參閱

https://alas.aws.amazon.com//AL2023/ALAS2023-2025-1188.html

https://alas.aws.amazon.com/faqs.html

https://explore.alas.aws.amazon.com/CVE-2025-31492.html

Plugin 詳細資訊

嚴重性: High

ID: 264829

檔案名稱: al2023_ALAS2023-2025-1188.nasl

版本: 1.1

類型: local

代理程式: unix

已發布: 2025/9/15

已更新: 2025/9/15

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: High

基本分數: 7.8

時間性分數: 5.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS 評分資料來源: CVE-2025-31492

CVSS v3

風險因素: High

基本分數: 7.5

時間性分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

風險因素: High

Base Score: 8.2

Threat Score: 4.6

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

弱點資訊

CPE: p-cpe:/a:amazon:linux:mod_auth_openidc, cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:mod_auth_openidc-debugsource, p-cpe:/a:amazon:linux:mod_auth_openidc-debuginfo

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2025/9/15

弱點發布日期: 2025/4/6

參考資訊

CVE: CVE-2025-31492

IAVB: 2025-B-0058