リモートの Debian 10 ホストには、dla-3499 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - mod_auth_openidc は Apache 2.xHTTP サーバー用の認証/承認モジュールであり、OpenID Connect 依存パーティとして機能し、OpenID Connect プロバイダーに対してユーザーを認証します。 2.4.9.4より前のバージョンでは、mod_auth_openidc のサードパーティの init SSO 機能が、「target_link_uri」パラメーターで細工された URL を提供することによるオープンリダイレクト攻撃に対して脆弱であることが報告されました。バージョン 2.4.9.4のパッチにより、「OIDCRedirectURLsAllowed」設定を「target_link_uri」パラメーターに適用する必要があります。パッチされたバージョンにアップグレードする以外に、既知の回避策はありません。
    (CVE-2021-39191)

  - mod_auth_openidc は、Apache 2.x HTTP サーバー用の OpenID Certified 認証および承認モジュールです。2.4.12.2 より前のバージョンは、オープンリダイレクトに対して脆弱です。リダイレクト URI にログアウトパラメーターを提供するとき、oidc_validate_redirect_url() の既存のコードは、/\t で始まる URL を適切にチェックせず、オープンリダイレクトが発生します。この問題には、バージョン 2.4.12.2 でパッチが適用されています。アップグレードできないユーザーは、宛先が OIDCRedirectURLsAllowed で特定の正規表現と一致する場合にのみ、リダイレクトを許可するように mod_auth_openidc を構成することで、この問題を緩和できます。(CVE-2022-23527)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - mod_auth_openidc は、Apache 2.x HTTP サーバー用の OpenID Certified 認証および承認モジュールです。2.4.12.2 より前のバージョンは、オープンリダイレクトに対して脆弱です。リダイレクト URI にログアウトパラメーターを提供するとき、oidc_validate_redirect_url() の既存のコードは、/\t で始まる URL を適切にチェックせず、オープンリダイレクトが発生します。この問題には、バージョン 2.4.12.2 でパッチが適用されています。アップグレードできないユーザーは、宛先が OIDCRedirectURLsAllowed で特定の正規表現と一致する場合にのみ、リダイレクトを許可するように mod_auth_openidc を構成することで、この問題を緩和できます。(CVE-2022-23527)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートの Redhat Enterprise Linux 8 ホストにインストールされているパッケージは、RHSA-2023: 6940 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - mod_auth_openidc は、Apache 2.x HTTP サーバー用の OpenID Certified 認証および承認モジュールです。2.4.12.2 より前のバージョンは、オープンリダイレクトに対して脆弱です。リダイレクト URI にログアウトパラメーターを提供するとき、oidc_validate_redirect_url() の既存のコードは、/\t で始まる URL を適切にチェックせず、オープンリダイレクトが発生します。この問題には、バージョン 2.4.12.2 でパッチが適用されています。アップグレードできないユーザーは、宛先が OIDCRedirectURLsAllowed で特定の正規表現と一致する場合にのみ、リダイレクトを許可するように mod_auth_openidc を構成することで、この問題を緩和できます。(CVE-2022-23527)

  - mod_auth_openidc は、OpenID Connect Relying Party 機能を実装した Apache 2.xHTTP サーバー用の OpenID Certified 認証および承認モジュールです。バージョン 2.0.0から 2.4.13.1で、「OIDCStripCookies」が設定され、細工されたクッキーが提供されると、NULL ポインターデリファレンスが発生し、セグメンテーション違反が発生します。これは、サービス拒否攻撃に使用される可能性があり、可用性のリスクを提示します。バージョン 2.4.13.2には、この問題に対するパッチが含まれています。回避策として、「OIDCStripCookies」の使用を回避します。(CVE-2023-28625)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの SUSE Linux SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2023:0215-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - mod_auth_openidc は Apache 2.xHTTP サーバー用の認証/承認モジュールであり、OpenID Connect 依存パーティとして機能し、OpenID Connect プロバイダーに対してユーザーを認証します。 2.4.9.4より前のバージョンでは、mod_auth_openidc のサードパーティの init SSO 機能が、「target_link_uri」パラメーターで細工された URL を提供することによるオープンリダイレクト攻撃に対して脆弱であることが報告されました。バージョン 2.4.9.4のパッチにより、「OIDCRedirectURLsAllowed」設定を「target_link_uri」パラメーターに適用する必要があります。パッチされたバージョンにアップグレードする以外に、既知の回避策はありません。
    (CVE-2021-39191)

  - mod_auth_openidc は、Apache 2.x HTTP サーバー用の OpenID Certified 認証および承認モジュールです。2.4.12.2 より前のバージョンは、オープンリダイレクトに対して脆弱です。リダイレクト URI にログアウトパラメーターを提供するとき、oidc_validate_redirect_url() の既存のコードは、/\t で始まる URL を適切にチェックせず、オープンリダイレクトが発生します。この問題には、バージョン 2.4.12.2 でパッチが適用されています。アップグレードできないユーザーは、宛先が OIDCRedirectURLsAllowed で特定の正規表現と一致する場合にのみ、リダイレクトを許可するように mod_auth_openidc を構成することで、この問題を緩和できます。(CVE-2022-23527)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの Redhat Enterprise Linux 9 ホストにインストールされているパッケージは、RHSA-2023: 6365 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - mod_auth_openidc は、Apache 2.x HTTP サーバー用の OpenID Certified 認証および承認モジュールです。2.4.12.2 より前のバージョンは、オープンリダイレクトに対して脆弱です。リダイレクト URI にログアウトパラメーターを提供するとき、oidc_validate_redirect_url() の既存のコードは、/\t で始まる URL を適切にチェックせず、オープンリダイレクトが発生します。この問題には、バージョン 2.4.12.2 でパッチが適用されています。アップグレードできないユーザーは、宛先が OIDCRedirectURLsAllowed で特定の正規表現と一致する場合にのみ、リダイレクトを許可するように mod_auth_openidc を構成することで、この問題を緩和できます。(CVE-2022-23527)

  - mod_auth_openidc は、OpenID Connect Relying Party 機能を実装した Apache 2.xHTTP サーバー用の OpenID Certified 認証および承認モジュールです。バージョン 2.0.0から 2.4.13.1で、「OIDCStripCookies」が設定され、細工されたクッキーが提供されると、NULL ポインターデリファレンスが発生し、セグメンテーション違反が発生します。これは、サービス拒否攻撃に使用される可能性があり、可用性のリスクを提示します。バージョン 2.4.13.2には、この問題に対するパッチが含まれています。回避策として、「OIDCStripCookies」の使用を回避します。(CVE-2023-28625)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Fedora 36 ホストには、FEDORA-2022-6beaa3bd0c のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - mod_auth_openidc は、Apache 2.x HTTP サーバー用の OpenID Certified 認証および承認モジュールです。2.4.12.2 より前のバージョンは、オープンリダイレクトに対して脆弱です。リダイレクト URI にログアウトパラメーターを提供するとき、oidc_validate_redirect_url() の既存のコードは、/\t で始まる URL を適切にチェックせず、オープンリダイレクトが発生します。この問題には、バージョン 2.4.12.2 でパッチが適用されています。アップグレードできないユーザーは、宛先が OIDCRedirectURLsAllowed で特定の正規表現と一致する場合にのみ、リダイレクトを許可するように mod_auth_openidc を構成することで、この問題を緩和できます。(CVE-2022-23527)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの CentOS Linux 9 ホストに、mod_auth_openidc-2.4.9.4-2.el9 ビルド変更ログに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - target_link_uri パラメーターに細工された URL を指定することによる、オープンリダイレクト (CVE-2021-39191)

  - mod_auth_openidc は、Apache 2.x HTTP サーバー用の OpenID Certified 認証および承認モジュールです。2.4.12.2 より前のバージョンは、オープンリダイレクトに対して脆弱です。リダイレクト URI にログアウトパラメーターを提供するとき、oidc_validate_redirect_url() の既存のコードは、/\t で始まる URL を適切にチェックせず、オープンリダイレクトが発生します。この問題には、バージョン 2.4.12.2 でパッチが適用されています。アップグレードできないユーザーは、宛先が OIDCRedirectURLsAllowed で特定の正規表現と一致する場合にのみ、リダイレクトを許可するように mod_auth_openidc を構成することで、この問題を緩和できます。(CVE-2022-23527)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Oracle Linux 9 ホストに、ELSA-2023-6365 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - mod_auth_openidc は、OpenID Connect Relying Party 機能を実装した Apache 2.xHTTP サーバー用の OpenID Certified 認証および承認モジュールです。バージョン 2.0.0から 2.4.13.1で、「OIDCStripCookies」が設定され、細工されたクッキーが提供されると、NULL ポインターデリファレンスが発生し、セグメンテーション違反が発生します。これは、サービス拒否攻撃に使用される可能性があり、可用性のリスクを提示します。バージョン 2.4.13.2には、この問題に対するパッチが含まれています。回避策として、「OIDCStripCookies」の使用を回避します。(CVE-2023-28625)

  - mod_auth_openidc は、Apache 2.x HTTP サーバー用の OpenID Certified 認証および承認モジュールです。2.4.12.2 より前のバージョンは、オープンリダイレクトに対して脆弱です。リダイレクト URI にログアウトパラメーターを提供するとき、oidc_validate_redirect_url() の既存のコードは、/\t で始まる URL を適切にチェックせず、オープンリダイレクトが発生します。この問題には、バージョン 2.4.12.2 でパッチが適用されています。アップグレードできないユーザーは、宛先が OIDCRedirectURLsAllowed で特定の正規表現と一致する場合にのみ、リダイレクトを許可するように mod_auth_openidc を構成することで、この問題を緩和できます。(CVE-2022-23527)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Oracle Linux 8 ホストに、ELSA-2023-6940 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - mod_auth_openidc は、Apache 2.x HTTP サーバー用の OpenID Certified 認証および承認モジュールです。2.4.12.2 より前のバージョンは、オープンリダイレクトに対して脆弱です。リダイレクト URI にログアウトパラメーターを提供するとき、oidc_validate_redirect_url() の既存のコードは、/\t で始まる URL を適切にチェックせず、オープンリダイレクトが発生します。この問題には、バージョン 2.4.12.2 でパッチが適用されています。アップグレードできないユーザーは、宛先が OIDCRedirectURLsAllowed で特定の正規表現と一致する場合にのみ、リダイレクトを許可するように mod_auth_openidc を構成することで、この問題を緩和できます。(CVE-2022-23527)

  - mod_auth_openidc は、OpenID Connect Relying Party 機能を実装した Apache 2.xHTTP サーバー用の OpenID Certified 認証および承認モジュールです。バージョン 2.0.0から 2.4.13.1で、「OIDCStripCookies」が設定され、細工されたクッキーが提供されると、NULL ポインターデリファレンスが発生し、セグメンテーション違反が発生します。これは、サービス拒否攻撃に使用される可能性があり、可用性のリスクを提示します。バージョン 2.4.13.2には、この問題に対するパッチが含まれています。回避策として、「OIDCStripCookies」の使用を回避します。(CVE-2023-28625)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Fedora 39 ホストには、FEDORA-2023-02c84fe305 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - mod_auth_openidc は Apache 2.xHTTP サーバー用の認証/承認モジュールであり、OpenID Connect 依存パーティとして機能し、OpenID Connect プロバイダーに対してユーザーを認証します。 2.4.9 より前のバージョンでは、「oidc_validate_redirect_url()」はほとんどのブラウザ同様に URL を解析しません。その結果、この機能がバイパスされ、ログアウト機能にオープンリダイレクトの脆弱性が発生する可能性があります。このバグはバージョン 2.4.9で修正されました。リダイレクトする URL のバックスラッシュをスラッシュに置き換えて、異なる仕様間の特定の重大な変更に対処しました。(RFC2396 / RFC3986および WHATWG)。回避策として、「mod_auth_openidc」を構成して、宛先が特定の正規表現に一致するリダイレクトのみを許可することにより、この脆弱性を緩和できます。
    (CVE-2021-32786)

  - mod_auth_openidc は Apache 2.xHTTP サーバー用の認証/承認モジュールであり、OpenID Connect 依存パーティとして機能し、OpenID Connect プロバイダーに対してユーザーを認証します。バージョン 2.4.9より前の mod_auth_openidc では、mod_auth_openidc の AES GCM 暗号化は静的 IV および AAD を使用します。これは静的 nonce を作成しますが、aes-gcm はストリーム暗号であるため、修正することが重要です。これにより、同じキーが再利用されているため、既知の暗号問題を引き起こす可能性があります。2.4.9 以降、cjose AES 暗号化ルーチンの使用を通じて動的な値を使用するようにパッチが適用されています。(CVE-2021-32791)

  - mod_auth_openidc は Apache 2.xHTTP サーバー用の認証/承認モジュールであり、OpenID Connect 依存パーティとして機能し、OpenID Connect プロバイダーに対してユーザーを認証します。バージョン 2.4.9より前の mod_auth_openidc では、「OIDCPreservePost On」を使用する際に XSS の脆弱性があります。
    (CVE-2021-32792)

  - mod_auth_openidc は Apache 2.xHTTP サーバー用の認証/承認モジュールであり、OpenID Connect 依存パーティとして機能し、OpenID Connect プロバイダーに対してユーザーを認証します。 2.4.9.4より前のバージョンでは、mod_auth_openidc のサードパーティの init SSO 機能が、「target_link_uri」パラメーターで細工された URL を提供することによるオープンリダイレクト攻撃に対して脆弱であることが報告されました。バージョン 2.4.9.4のパッチにより、「OIDCRedirectURLsAllowed」設定を「target_link_uri」パラメーターに適用する必要があります。パッチされたバージョンにアップグレードする以外に、既知の回避策はありません。
    (CVE-2021-39191)

  - mod_auth_openidc は、Apache 2.x HTTP サーバー用の OpenID Certified 認証および承認モジュールです。2.4.12.2 より前のバージョンは、オープンリダイレクトに対して脆弱です。リダイレクト URI にログアウトパラメーターを提供するとき、oidc_validate_redirect_url() の既存のコードは、/\t で始まる URL を適切にチェックせず、オープンリダイレクトが発生します。この問題には、バージョン 2.4.12.2 でパッチが適用されています。アップグレードできないユーザーは、宛先が OIDCRedirectURLsAllowed で特定の正規表現と一致する場合にのみ、リダイレクトを許可するように mod_auth_openidc を構成することで、この問題を緩和できます。(CVE-2022-23527)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
178452	Debian DLA-3499-1 : libapache2-mod-auth-openidc - LTS セキュリティ更新	Nessus	Debian Local Security Checks	2023/7/19	2025/1/22	medium
252436	Linux Distros のパッチ未適用の脆弱性: CVE-2022-23527	Nessus	Misc.	2025/8/20	2025/8/20	medium
185656	RHEL 8: - mod_auth_openidc: 2.3 (RHSA-2023: 6940)	Nessus	Red Hat Local Security Checks	2023/11/14	2024/11/7	medium
170904	SUSE SLES15 / openSUSE 15 セキュリティ更新: apache2-mod_auth_openidc (SUSE-SU-2023:0215-1)	Nessus	SuSE Local Security Checks	2023/1/31	2023/7/14	medium
185112	RHEL 9 : mod_auth_openidc (RHSA-2023: 6365)	Nessus	Red Hat Local Security Checks	2023/11/7	2024/11/7	medium
169297	Fedora 36: mod_auth_openidc (2022-6beaa3bd0c)	Nessus	Fedora Local Security Checks	2022/12/25	2024/11/14	medium
191413	CentOS 9 : mod_auth_openidc-2.4.9.4-2.el9	Nessus	CentOS Local Security Checks	2024/2/29	2024/4/26	medium
185822	Oracle Linux 9 : mod_auth_openidc (ELSA-2023-6365 )	Nessus	Oracle Linux Local Security Checks	2023/11/16	2025/9/9	medium
186092	Oracle Linux 8: - mod_auth_openidc: 2.3 (ELSA-2023-6940)	Nessus	Oracle Linux Local Security Checks	2023/11/21	2025/9/9	medium
185201	Fedora 39 : mod_auth_openidc (2023-02c84fe305)	Nessus	Fedora Local Security Checks	2023/11/7	2024/11/14	medium

検出

プラグインの検索

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium