Debian DLA-3409-1：libapache2-mod-auth-openidc - LTS 安全更新

medium Nessus 插件 ID 174970

语言：

简介

远程 Debian 主机上缺少一个或多个与安全性相关的更新。

描述

远程 Debian 10 主机上安装的一个程序包受到 dla-3409 公告中提及的多个漏洞影响。

- mod_auth_openidc 2.4.1 之前版本中发现一个缺陷。开头带斜线和反斜线的 URL 中存在开放重定向问题。 (CVE-2019-20479)

- mod_auth_openidc 是 Apache 2.x HTTP 服务器的认证/授权模块，充当 OpenID Connect 依赖方，针对 OpenID Connect 提供程序认证用户。当低于 2.4.9 版的 mod_auth_openidc 配置为使用未加密的 Redis 缓存（“OIDCCacheEncrypt off”、“OIDCSessionType server-cache”、“OIDCCacheType redis”）时，“mod_auth_openidc”在将 Redis 请求传递给“hiredis”之前错误地执行了参数插值，这将导致再次执行并造成不受控制的格式字符串缺陷。初始评估显示，此缺陷不允许获得任意代码执行，但可通过反复使 Apache 工作线程崩溃来可靠地引发拒绝服务。此缺陷已在 2.4.9 版中修正，现可使用“hiredis”API 仅执行一次参数插值。作为变通方案，用户可通过将“OIDCCacheEncrypt”设置为“on”来缓解此漏洞，因为启用此选项时，缓存密钥会在使用前进行加密哈希。(CVE-2021-32785)

- mod_auth_openidc 是 Apache 2.x HTTP 服务器的认证/授权模块，充当 OpenID Connect 依赖方，针对 OpenID Connect 提供程序认证用户。在 2.4.9 之前的版本中，`oidc_validate_redirect_url()` 解析 URL 的方式与大多数浏览器不一相同。因此，攻击者可绕过此函数并导致注销功能中出现公开重定向漏洞。此错误已在 2.4.9 版本中修复，方法是将要重定向的 URL 的任何反斜线替换为斜线，以解决不同规范之间的特定破坏性变更（RFC2396/RFC3986 和 WHATWP）。有一种变通方案时，通过配置 `mod_auth_openidc` 以仅允许其目标匹配给定正则表达式的重定向来缓解此漏洞。
(CVE-2021-32786)

- mod_auth_openidc 是 Apache 2.x HTTP 服务器的认证/授权模块，充当 OpenID Connect 依赖方，针对 OpenID Connect 提供程序认证用户。在 mod_auth_openidc 2.4.9 之前版本中，mod_auth_openidc 中的 AES GCM 加密机制使用静态 IV 和 AAD。修复此问题很重要，因为这会创建静态临时信息，而且 aes-gcm 是流密码，这就可能导致已知的加密问题，因为系统正在重复使用相同的密钥。自 2.4.9 版本起，此问题已得到修补，以便通过使用 cjose AES 加密例程来使用动态值。(CVE-2021-32791)

- mod_auth_openidc 是 Apache 2.x HTTP 服务器的认证/授权模块，充当 OpenID Connect 依赖方，针对 OpenID Connect 提供程序认证用户。在 mod_auth_openidc 2.4.9 之前版本中使用 `OIDCPreservePost On` 时，存在 XSS 漏洞。
(CVE-2021-32792)

- mod_auth_openidc 是 Apache 2.x HTTP 服务器的认证和授权模块，实现 OpenID Connect 依赖方功能。在版本 2.0.0 至 2.4.13.1 中，设置“OIDCStripCookies”并提供特制的 Cookie 时，将发生空指针取消引用，从而导致分段错误。该漏洞可用于拒绝服务攻击，因此存在可用性风险。 2.4.13.2 版包含针对此问题的补丁。变通方案是避免使用“OIDCStripCookies”。(CVE-2023-28625)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。