当前位置: > Linux安全 >

Apache mod_auth_openidc 模块存在拒绝服务漏洞

时间:2023-04-10 14:18来源:未知 作者:IT

漏洞描述

mod_auth_openidc 是 Apache 2.x HTTP 服务器的身份验证和授权模块,实现了 OpenID Connect Relying Party 单点登录功能,OIDCStripCookies 用于从 OpenID Connect 授权令牌中移除指定的 Cookie。

mod_auth_openidc 受影响版本中由于 mod_auth_openidc#oidc_strip_cookies 方法未对包含 NULL 值的 cookie 有效过滤,当配置 OIDCStripCookies 时,攻击者可通过提供一个精心制作的 Cookie 造成 mod_auth_openidc 由于空指针引用导致分段错误,从而造成拒绝服务。

漏洞名称 Apache mod_auth_openidc 模块存在拒绝服务漏洞
漏洞类型 空指针解引用
发现时间 2023-04-04
漏洞影响广度
MPS 编号 MPS-2023-8490
CVE 编号 CVE-2023-28625
CNVD 编号 -

影响范围

mod_auth_openidc@[2.0.0, 2.4.13.2)

修复方案

升级 mod_auth_openidc 到 2.4.13.2 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2023-8490

https://nvd.nist.gov/vuln/detail/CVE-2023-28625

https://github.com/OpenIDC/mod_auth_openidc/security/advisories/GHSA-f5xw-rvfr-24qr

https://github.com/OpenIDC/mod_auth_openidc/blame/3f11976dab56af0a46a7dddb7a275cc16d6eb726/src/mod_auth_openidc.c#L178-L179

    

(责任编辑:IT)
------分隔线----------------------------
栏目列表
推荐内容