中危 Apache mod_auth_openidc 模块存在拒绝服务漏洞

CVE编号

CVE-2023-28625

利用情况

暂无

补丁情况

官方补丁

披露时间

2023-04-03

漏洞描述

mod_auth_openidc 是 Apache 2.x HTTP 服务器的身份验证和授权模块，实现了 OpenID Connect Relying Party 单点登录功能，OIDCStripCookies 用于从 OpenID Connect 授权令牌中移除指定的 Cookie。 mod_auth_openidc 受影响版本中由于 mod_auth_openidc#oidc_strip_cookies 方法未对包含 NULL 值的 cookie 有效过滤，当配置 OIDCStripCookies 时，攻击者可通过提供一个精心制作的 Cookie 造成 mod_auth_openidc 由于空指针引用导致分段错误，从而造成拒绝服务。

解决建议

"升级mod_auth_openidc到 2.4.13.2 或更高版本"

参考链接
https://github.com/OpenIDC/mod_auth_openidc/blame/3f11976dab56af0a46a7dddb7a2...
https://github.com/OpenIDC/mod_auth_openidc/commit/c0e1edac3c4c19988ccdc7713d...
https://github.com/OpenIDC/mod_auth_openidc/releases/tag/v2.4.13.2
https://github.com/OpenIDC/mod_auth_openidc/security/advisories/GHSA-f5xw-rvfr-24qr
https://lists.debian.org/debian-lts-announce/2023/04/msg00034.html
https://lists.fedoraproject.org/archives/list/[email protected]...
https://www.debian.org/security/2023/dsa-5405

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	apache	http_server	*	From (including) 2.0.0	Up to (excluding) 2.4.13.2
	运行在以下环境
	系统	debian_10	libapache2-mod-auth-openidc	*		Up to (excluding) 2.3.10.2-1+deb10u2
	运行在以下环境
	系统	debian_11	libapache2-mod-auth-openidc	*		Up to (excluding) 2.4.9.4-0+deb11u3
	运行在以下环境
	系统	debian_12	libapache2-mod-auth-openidc	*		Up to (excluding) 2.4.12.3-2
	运行在以下环境
	系统	debian_sid	libapache2-mod-auth-openidc	*		Up to (excluding) 2.4.12.3-2
	运行在以下环境
	系统	fedora_38	mod_auth_openidc-debuginfo	*		Up to (excluding) 2.4.13.2-1.fc38
	运行在以下环境
	系统	opensuse_Leap_15.4	apache2-mod_auth_openidc	*		Up to (excluding) 2.3.8-150100.3.25.1
	运行在以下环境
	系统	suse_12_SP5	apache2-mod_auth_openidc	*		Up to (excluding) 2.4.0-7.9.1

阿里云评分 6.2

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 越权影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 数据泄露
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-476	空指针解引用

Exp相关链接

- avd.aliyun.com