ГлавнаяБаза уязвимостей БДУ → BDU:2022-01657
4.3средняя

BDU:2022-01657 (CVE-2021-32791)

Уязвимость функционала шифрования AES GCM модуля аутентификации и авторизации для Apache 2.x HTTP server Mod_auth_openidc, позволяющая нарушителю получить доступ к конфиденциальным данным
Опубликовано: 2022-04-01
Описание

Уязвимость функционала шифрования AES GCM модуля аутентификации и авторизации для Apache 2.x HTTP server Mod_auth_openidc связана с использованием статических IV и AAD. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Debian GNU/Linux (10)Fedora (33)Fedora (34)Debian GNU/Linux (11)Mod_auth_openidc (до 2.4.9)
Способ устранения

Для Mod_auth_openidc:
использование рекомендаций производителя: https://github.com/zmartzone/mod_auth_openidc/security/advisories/GHSA-px3c-6x7j-3r9r

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-32791

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FZVF6BSJLRQZ7PFFR4X5JSU6KUJYNOCU/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QXAWKPT5LXZSUTFSJ6IWSZC7RMYYQXQD/

Оценка CVSS
Балл4.3 — средняя опасность
Источники и патчи
https://github.com/zmartzone/mod_auth_openidc/commit/375407c16c61a70b56fdbe13b0d2c8f11398e92chttps://github.com/zmartzone/mod_auth_openidc/security/advisories/GHSA-px3c-6x7j-3r9rhttps://nvd.nist.gov/vuln/detail/CVE-2021-32791https://security-tracker.debian.org/tracker/CVE-2021-32791https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FZVF6BSJLRQZ7PFFR4X5JSU6KUJYNOCU/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QXAWKPT5LXZSUTFSJ6IWSZC7RMYYQXQD/
Проверьте безопасность своего сайта и почты → Полная проверка домена