mod_auth_openidc-1.8.8-5.el7
エラータID: AXSA:2019-4244:01
リリース日:
2019/09/12 Thursday - 08:58
題名:
mod_auth_openidc-1.8.8-5.el7
影響のあるチャネル:
Asianux Server 7 for x86_64
Severity:
Moderate
Description:
以下項目について対処しました。
[Security Fix]
- mod_auth_openidc の Mod_auth_openidc.c には、ユーザに提供される
不正なリクエストのきっかけとなる悪意のある URL によって、リモートの
攻撃者がページの内容を偽る脆弱性があります。(CVE-2017-6059)
- mod_auth_opendic には、"AuthType oauth20" 設定 の OIDC_CLAIM_
ヘッダと OIDCAuthNHeader ヘッダをスキップせず、巧妙に細工された
HTTP トラフィックによって、リモートの攻撃者が認証を回避する
脆弱性があります。(CVE-2017-6413)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2017-6059
Mod_auth_openidc.c in the Ping Identity OpenID Connect authentication module for Apache (aka mod_auth_openidc) before 2.14 allows remote attackers to spoof page content via a malicious URL provided to the user, which triggers an invalid request.
Mod_auth_openidc.c in the Ping Identity OpenID Connect authentication module for Apache (aka mod_auth_openidc) before 2.14 allows remote attackers to spoof page content via a malicious URL provided to the user, which triggers an invalid request.
CVE-2017-6413
The "OpenID Connect Relying Party and OAuth 2.0 Resource Server" (aka mod_auth_openidc) module before 2.1.6 for the Apache HTTP Server does not skip OIDC_CLAIM_ and OIDCAuthNHeader headers in an "AuthType oauth20" configuration, which allows remote attackers to bypass authentication via crafted HTTP traffic.
The "OpenID Connect Relying Party and OAuth 2.0 Resource Server" (aka mod_auth_openidc) module before 2.1.6 for the Apache HTTP Server does not skip OIDC_CLAIM_ and OIDCAuthNHeader headers in an "AuthType oauth20" configuration, which allows remote attackers to bypass authentication via crafted HTTP traffic.
追加情報:
N/A
ダウンロード:
SRPMS
- mod_auth_openidc-1.8.8-5.el7.src.rpm
MD5: dbd247c5cb17714478fe3e5eae59e66f
SHA-256: f3804a10e54b1f68b6cc17bcfaf7eb75daade47c2011fb72d2c98a9df854978c
Size: 172.20 kB
Asianux Server 7 for x86_64
- mod_auth_openidc-1.8.8-5.el7.x86_64.rpm
MD5: 5de7b3231976f14724a13e0d1c3a1ccc
SHA-256: de618b7ca7da938efdd2365b4b68122a8a78c718b48beebb19f3d1f97d910b32
Size: 123.09 kB