首页 文章 精选 留言 我的

Apache mod_auth_openidc 模块存在拒绝服务漏洞

2023-04-04 476

漏洞描述

mod_auth_openidc 是 Apache 2.x HTTP 服务器的身份验证和授权模块,实现了 OpenID Connect Relying Party 单点登录功能,OIDCStripCookies 用于从 OpenID Connect 授权令牌中移除指定的 Cookie。

mod_auth_openidc 受影响版本中由于 mod_auth_openidc#oidc_strip_cookies 方法未对包含 NULL 值的 cookie 有效过滤,当配置 OIDCStripCookies 时,攻击者可通过提供一个精心制作的 Cookie 造成 mod_auth_openidc 由于空指针引用导致分段错误,从而造成拒绝服务。

漏洞名称 Apache mod_auth_openidc 模块存在拒绝服务漏洞
漏洞类型 空指针解引用
发现时间 2023-04-04
漏洞影响广度
MPS编号 MPS-2023-8490
CVE编号 CVE-2023-28625
CNVD编号 -

影响范围

mod_auth_openidc@[2.0.0, 2.4.13.2)

修复方案

升级mod_auth_openidc到 2.4.13.2 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2023-8490

https://nvd.nist.gov/vuln/detail/CVE-2023-28625

https://github.com/OpenIDC/mod_auth_openidc/security/advisories/GHSA-f5xw-rvfr-24qr

https://github.com/OpenIDC/mod_auth_openidc/blame/3f11976dab56af0a46a7dddb7a275cc16d6eb726/src/mod_auth_openidc.c#L178-L179

    

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具: https://www.murphysec.com/?src=osc

免费情报订阅: https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

上一篇 下一篇
优秀的个人博客,低调大师

微信关注我们

原文链接:https://www.oschina.net/news/235329

转载内容版权归作者及来源网站所有!

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

OpenAPI Generator 存在 SSRF 漏洞

漏洞描述 OpenAPI Generator 是一个用于生成客户端和服务器代码的开源工具,它基于 OpenAPI 规范(以前称为 Swagger 规范)来生成各种编程语言和框架的代码。 OpenAPI Generator受影响版本存在SSRF漏洞,由于 /api/gen/clients/{language}、/api/gen/servers/{framework}端点未对接收的 openAPIUrl 参数进行安全检验,未经身份验证的攻击者通过构造恶意的openAPIUrl利用此漏洞进行服务器端请求伪造 (SSRF) 攻击。 漏洞名称 OpenAPI Generator 存在SSRF漏洞 漏洞类型 SSRF 发现时间 2023-04-01 漏洞影响广度 一般 MPS编号 MPS-2023-6330 CVE编号 CVE-2023-27162 CNVD编号 - 影响范围 org.openapitools:openapi-generator@(-∞, v6.4.0] 修复方案 官方暂未发布新版本,请关注官方通告:https://github.com/OpenAPITools/openapi-g...
2023-04-01
281
上一篇

Samba 存在 BitLocker 恢复密钥泄漏漏洞

漏洞描述 Samba 是一个用于 Linux/UNIX 系统的开源软件,用于实现与 Windows 系统之间的文件和打印机共享功能,Active Directory (AD)是 Windows 系统中用于管理网络资源访问的一种服务,BitLocker 用于对 Windows 系统中的硬盘驱动器/数据进行加密。 由于 CVE-2018-10919 中对 LDAP 过滤器导致的机密属性泄露问题修复不完整,攻击者可以发现访问控制的 AD LDAP 属性,进而从 Samba AD DC 服务器中获取 BitLocker 恢复密钥。用户可通过避免在 Active Directory 中存储除 AD 操作所需的密钥以外的机密信息缓解此漏洞。 漏洞名称 Samba 存在 BitLocker 恢复密钥泄漏漏洞 漏洞类型 信息暴露 发现时间 2023-04-04 漏洞影响广度 广 MPS编号 MPS-2023-3557 CVE编号 CVE-2023-0614 CNVD编号 - 影响范围 samba@[4.18.0, 4.18.1) samba@(-∞, 4.16.10) samba@[4.17.0, 4...
2023-04-04
463
下一篇

相关文章

发表评论

资源下载

更多资源
Mario

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长,特征是大鼻子、头戴帽子、身穿背带裤,还留着胡子。与他的双胞胎兄弟路易基一起,长年担任任天堂的招牌角色。

时间: 2026-04-11 大小: 211.28KB 下载: 56次
腾讯云软件源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题,腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构,目前腾讯云软件源站支持公网访问和内网访问。

时间: 2026-04-11 大小: 1MB 下载: 9次
Spring

Spring

Spring框架(Spring Framework)是由Rod Johnson于2002年提出的开源Java企业级应用框架,旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念,提供核心容器、应用上下文、数据访问集成等模块,支持整合Hibernate、Struts等第三方框架,其适用范围不仅限于服务器端开发,绝大多数Java应用均可从中受益。

时间: 2025-12-17 大小: 5MB 下载: 1次
Rocky Linux

Rocky Linux

Rocky Linux(中文名:洛基)是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版,作为CentOS稳定版停止维护后与RHEL(Red Hat Enterprise Linux)完全兼容的开源替代方案,由社区拥有并管理,支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性,采用模块化包装和SELinux安全架构,默认包含GNOME桌面环境及XFS文件系统,支持十年生命周期更新。

时间: 2026-04-12 大小: 1.42GB 下载: 4次
手机查看

扫码在手机上查看文章

扫描二维码,手机阅读更方便

热门标签
DeepSeek Jdk25 OpenAi HarmonyOS6 Nacos3 SpringBoot4 SpringCloud Docker Kubernetes Service Mesh Redis Gemini3 Rocky

欢迎您来访!

登录后,您将获得更多功能!
热门文章
联系我们

有任何问题或合作意向欢迎联系我们

Email: 99873273@qq.com

QQ: 99873273

用户登录
用户注册