対象
- osstech-mod_auth_openidc-2.4.8.4-1 以前のバージョン
脆弱性の詳細
アップデート版では以下の脆弱性の対応が含まれております。
CVE-2021-32785
細工したリクエストを mod_auth_openidc に渡すことで Apacheのプロセスをダウンさせる問題が存在します。 繰り返しダウンさせることでサービス不能に陥る恐れがあります。
CVE-2021-32786
オープンリダイレクトの脆弱性が存在します。 細工されたページにアクセスすることで任意のウェブサイトにリダイレクトされ、 結果としてフィッシングなどの被害にあう可能性があります。
CVE-2021-32791
mod_auth_openidc の AES GCM の暗号処理に不備があり 安全な暗号化が行われず元のデータが推測される等の 問題が発生する可能性があります。
CVE-2021-32792
OIDCPreservePost の機能にクロスサイトスクリプティング(XSS) の脆弱性が存在します。 この問題は弊社で発見し、コミュニティと連携し協力して修正致しました。
アップデートパッケージの入手方法
お客様がご利用中の環境について、下記の動作 OS、 ご利用中の弊社製品のバージョンの情報をご確認の上、 弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えて ご連絡ください。
※下記に記されていない環境については、サポート窓口までお問い合わせください。
OS について
- Red Hat Enterprise Linux 8 (x86-64)
- Red Hat Enterprise Linux 7 (x86-64)
バージョンについて
ご利用されているバージョンは下記のコマンドでご確認ください。
# rpm -qa | grep osstech