遠端 Debian 10 主機上安裝的套件受 dla-3751 公告中提及的一個弱點影響。

  - mod_auth_openidc 是一個 OpenID 認證的驗證與授權模組，適用於實作了 OpenID Connect Relying Party 功能的 Apache 2.x HTTP 伺服器。在受影響的版本中，mod_auth_openidc_session_chunks Cookie 值缺少輸入驗證，使伺服器容易遭受拒絕服務 (DoS) 攻擊。已執行內部安全性稽核，檢閱者發現，如果將 mod_auth_openidc_session_chunks Cookie 值操控為非常大的整數 (例如 99999999)，伺服器會長時間處理要求，最後返回 500 錯誤。
    提出一些此類要求會導致我們的伺服器變得沒有回應。攻擊者可特製要求，讓伺服器非常費力地運作 (且可能變得沒有回應) 和/或輕易當機。此問題已在 2.4.15.2 版中解決。建議所有使用者進行升級。目前沒有任何因應措施可解決此弱點。(CVE-2024-24814)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Debian dla-3751：libapache2-mod-auth-openidc - 安全性更新

high Nessus Plugin ID 191563

版本 1.3