2021-1632: mod_auth_openidc: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2021-08-02 16:11): Neues Advisory
Version 2 (2021-09-13 15:07): Für openSUSE Leap 15.3 sowie SUSE Linux Enterprise Module for Server Applications 15 SP2 und 15 SP3 stehen Sicherheitsupdates für 'apache2-mod_auth_openidc' bereit, um die Schwachstellen zu beheben.
Version 3 (2021-09-16 18:02): Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'apache2-mod_auth_openidc' bereit, um die Schwachstellen zu beheben.

Betroffene Software

Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, einen Cross-Site-Scripting (XSS)-Angriff durchzuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Der Hersteller stellt mod_auth_openidc 2.4.9 als Sicherheitsupdate zur Verfügung.

Für Fedora 34 und 33 stehen Sicherheitsupdates für 'mod_auth_openidc' auf diese Version im Status 'testing' bereit. Im Sicherheitshinweis werden hier lediglich die Schwachstellen CVE-2021-32786, CVE-2021-32791 und CVE-2021-32792 aufgeführt.

Schwachstellen:

CVE-2021-32785

Schwachstelle in mod_auth_openidc ermöglicht Denial-of-Service-Angriff

CVE-2021-32786

Schwachstelle in mod_auth_openidc ermöglicht Darstellen falscher Informationen

CVE-2021-32791

Schwachstelle in mod_auth_openidc ermöglicht Ausspähen von Informationen

CVE-2021-32792

Schwachstelle in mod_auth_openidc ermöglicht Cross-Site-Scripting-Angriff

MOD-AUTH-OPENIDC-D