mod_auth_openidc アップデートのお知らせ [openidc2021-1-1]

OSSTech mod_auth_openidc のアップデート版の提供を開始します。アップデート版ではセキュリティに関する修正が含まれておりますので適用をお願いします。

2021-08-06

サポートニュース

mod_auth_openidc

update

アップデート版では以下の脆弱性の対応が含まれております。

細工したリクエストを mod_auth_openidc に渡すことで Apacheのプロセスをダウンさせる問題が存在します。繰り返しダウンさせることでサービス不能に陥る恐れがあります。

オープンリダイレクトの脆弱性が存在します。細工されたページにアクセスすることで任意のウェブサイトにリダイレクトされ、結果としてフィッシングなどの被害にあう可能性があります。

mod_auth_openidc の AES GCM の暗号処理に不備があり安全な暗号化が行われず元のデータが推測される等の問題が発生する可能性があります。

OIDCPreservePost の機能にクロスサイトスクリプティング（XSS）の脆弱性が存在します。この問題は弊社で発見し、コミュニティと連携し協力して修正致しました。

お客様がご利用中の環境について、下記の動作 OS、ご利用中の弊社製品のバージョンの情報をご確認の上、弊社サポート窓口まで、サポートID、会社名、ご担当者名を添えてご連絡ください。

※下記に記されていない環境については、サポート窓口までお問い合わせください。

ご利用されているバージョンは下記のコマンドでご確認ください。

# rpm -qa | grep osstech