遠端 RockyLinux 8 主機已安裝受 RLSA-2024:5289 公告中所提及一個弱點影響的套件。

    * mod_auth_openidc：使用 OIDCSessionType client-cookie 和操控 cookie 時發生 DoS (CVE-2024-24814)

Tenable 已直接從 RockyLinux 安全性公告擷取前置描述區塊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - mod_auth_openidc 是一個 OpenID 認證的驗證與授權模組，適用於實作了 OpenID Connect Relying Party 功能的 Apache 2.x HTTP 伺服器。在受影響的版本中，mod_auth_openidc_session_chunks Cookie 值缺少輸入驗證，使伺服器容易遭受拒絕服務 (DoS) 攻擊。已執行內部安全性稽核，檢閱者發現，如果將 mod_auth_openidc_session_chunks Cookie 值操控為非常大的整數 (例如 99999999)，伺服器會長時間處理要求，最後返回 500 錯誤。
    提出一些此類要求會導致我們的伺服器變得沒有回應。攻擊者可特製要求，讓伺服器非常費力地運作 (且可能變得沒有回應) 和/或輕易當機。此問題已在 2.4.15.2 版中解決。建議所有使用者進行升級。目前沒有任何因應措施可解決此弱點。(CVE-2024-24814)

請注意，Nessus 依賴供應商報告的套件存在。

遠端 Oracle Linux 8 主機上安裝的套件受到 ELSA-2024-5289 公告中提及的一個弱點影響。

    cjose mod_auth_openidc [2.4.9.4-6]
    - 解決：RHEL-36492 mod_auth_openidc filecache 中的爭用條件
    - 解決：RHEL-25421 mod_auth_openidc：使用 OIDCSessionType client-cookie 和操控 cookie 時發生 DoS (CVE-2024-24814)

Tenable 已直接從 Oracle Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Oracle Linux 9 主機上安裝的一個套件受到 ELSA-2024-9180 公告中提及的弱點影響。

    [2.4.10-1] 變基至 2.4.10 版本改善了狀態 cookie 堆積問題 解決：RHEL-32450 mod_auth_openidc filecache 中的爭用情形 解決：RHEL-25422 mod_auth_openidc：使用 OIDCSessionType client-cookie 和操控 cookie 時發生拒絕服務 (CVE-2024-24814)

Tenable 已直接從 Oracle Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Debian 10 主機上安裝的套件受 dla-3751 公告中提及的一個弱點影響。

  - mod_auth_openidc 是一個 OpenID 認證的驗證與授權模組，適用於實作了 OpenID Connect Relying Party 功能的 Apache 2.x HTTP 伺服器。在受影響的版本中，mod_auth_openidc_session_chunks Cookie 值缺少輸入驗證，使伺服器容易遭受拒絕服務 (DoS) 攻擊。已執行內部安全性稽核，檢閱者發現，如果將 mod_auth_openidc_session_chunks Cookie 值操控為非常大的整數 (例如 99999999)，伺服器會長時間處理要求，最後返回 500 錯誤。
    提出一些此類要求會導致我們的伺服器變得沒有回應。攻擊者可特製要求，讓伺服器非常費力地運作 (且可能變得沒有回應) 和/或輕易當機。此問題已在 2.4.15.2 版中解決。建議所有使用者進行升級。目前沒有任何因應措施可解決此弱點。(CVE-2024-24814)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 8 主機上安裝的套件受到 RHSA-2024:5289 公告中提及的弱點影響。

    mod_auth_openidc 是 OpenID Connect 驗證模組，適用於 Apache HTTP 伺服器。其可讓 Apache HTTP Server 做為 OpenID Connect 依賴方和/或 OAuth 2.0 資源伺服器運作。

    安全性修正：

    * mod_auth_openidc：使用 OIDCSessionType client-cookie 和操控 cookie 時發生 DoS (CVE-2024-24814)

    如需安全性問題的詳細資料，包括影響、CVSS 評分、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 9 主機上安裝的套件受到 RHSA-2024:9180 公告中提及的一個弱點影響。

    mod_auth_openidc 是 OpenID Connect 驗證模組，適用於 Apache HTTP 伺服器。其可讓 Apache HTTP Server 做為 OpenID Connect 依賴方和/或 OAuth 2.0 資源伺服器運作。

    安全性修正：

    * mod_auth_openidc：使用 OIDCSessionType client-cookie 和操控 cookie 時發生 DoS (CVE-2024-24814)

    如需安全性問題的詳細資料，包括影響、CVSS 評分、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

    其他變更：

    如需有關此發行版本的詳細變更資訊，請參閱可從「參照」一節連結的 Red Hat Enterprise Linux 9.5 版本資訊。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	產品	系列	已發布	已更新	嚴重性
235570	RockyLinux 8mod_auth_openidc:2.3 (RLSA-2024:5289)	Nessus	Rocky Linux Local Security Checks	2025/5/7	2025/5/7	high
252870	Linux Distros 未修補的弱點：CVE-2024-24814	Nessus	Misc.	2025/8/20	2025/8/20	high
205535	Oracle Linux 8：mod_auth_openidc:2.3 (ELSA-2024-5289)	Nessus	Oracle Linux Local Security Checks	2024/8/14	2025/9/9	high
211565	Oracle Linux 9：mod_auth_openidc (ELSA-2024-9180)	Nessus	Oracle Linux Local Security Checks	2024/11/19	2025/9/11	high
191563	Debian dla-3751：libapache2-mod-auth-openidc - 安全性更新	Nessus	Debian Local Security Checks	2024/3/5	2025/1/22	high
210515	RHEL 8：mod_auth_openidc:2.3 (RHSA-2024:5289)	Nessus	Red Hat Local Security Checks	2024/11/7	2025/4/29	high
210785	RHEL 9：mod_auth_openidc (RHSA-2024:9180)	Nessus	Red Hat Local Security Checks	2024/11/12	2024/11/12	high

偵測

搜尋 Plugin

high

high

high

high

high

high

high