摘要:
mod_auth_openidc security update
安全等级: High
公告ID: KylinSec-SA-2025-2552
发布日期: 2025年6月22日
关联CVE: CVE-2025-31492
安全修复项:
该模块使 Apache 2.x 网络服务器能够作为 OpenID Connect 依赖方(RP)与 OpenID Connect 提供商(OP)进行交互。
mod_auth_openidc 是 Apache 2.x HTTP 服务器的一个 OpenID 认证授权模块,实现了 OpenID Connect 依赖方功能。在 2.4.16.11 之前的版本中,mod_auth_openidc 存在一个漏洞,可能导致受保护内容泄露给未认证用户。泄露的条件包括:使用 OIDCProviderAuthRequestMethod POST 方法、存在有效账户,且服务器前端没有应用级网关(或负载均衡器等)。当请求受保护资源时,响应会包含 HTTP 状态码、HTTP 头信息、自提交表单以及无头信息的受保护内容。
具体来说,当 mod_auth_openidc 返回表单时,它必须从 check_userid 返回 OK 以避免进入 httpd 的错误路径。这导致 httpd 会尝试发送受保护资源。oidc_content_handler 被过早调用,本应有机会阻止 httpd 的正常输出,但由于该处理程序没有检查这种情况,因此返回 DECLINED,最终导致 httpd 将受保护内容附加到响应中。
此问题已在 mod_auth_openidc 2.4.16.11 及以上版本中修复。(CVE-2025-31492)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2025-31492 | KY3.5.3 | mod_auth_openidc | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| mod_auth_openidc | x86_64 | 2.4.16.11-1.ky3_5 |
| mod_auth_openidc | aarch64 | 2.4.16.11-1.ky3_5 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
