摘要:
mod_auth_openidc security update
安全等级: High
公告ID: KylinSec-SA-2025-2484
发布日期: 2025年6月3日
关联CVE: CVE-2025-31492
Apache mod_auth_openidc 模块安全公告
功能说明:
此模块使 Apache 2.x 网络服务器能够作为 OpenID Connect 依赖方(RP)与 OpenID Connect 提供方(OP)进行交互。
安全修复:
mod_auth_openidc 是 Apache 2.x HTTP 服务器的 OpenID 认证授权模块,实现 OpenID Connect 依赖方功能。在 2.4.16.11 版本之前存在安全漏洞:当满足以下条件时,可能导致未认证用户获取受保护内容:
使用 OIDCProviderAuthRequestMethod POST 方法
存在有效账户
服务器未部署应用层网关(或负载均衡器等)
攻击流程示例:
当请求受保护资源时,响应包含:
HTTP 状态码
HTTP 头信息
预期响应(自提交表单)
受保护资源内容(无头信息)
漏洞成因:
当 mod_auth_openidc 返回表单时,需通过 check_userid 返回 OK 以避免进入 httpd 错误处理流程
oidc_content_handler 早期调用本应阻止 httpd 的正常输出
但该处理器未检测此特定场景,返回 DECLINED 状态
导致 httpd 将受保护内容追加到响应中
修复方案:
该漏洞已在 mod_auth_openidc >= 2.4.16.11 版本修复 (CVE-2025-31492)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2025-31492 | V6 | mod_auth_openidc | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| mod_auth_openidc | x86_64 | 2.4.16.11-1.ks6 |
| mod_auth_openidc | aarch64 | 2.4.16.11-1.ks6 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
