04/09/2025にmod_auth_openidcの脆弱性(Important: CVE-2025-31492)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。
CVSS/プライオリティ
- CVE-2025-31492
- 影響するバージョン
- N/A
- Priority
- NVD:
- Red Hat: 7.5
- CVSS Score / CVSS Vector
- NVD:
- Red Hat: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
- 影響するバージョン
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- https://www.cve.org/CVERecord?id=CVE-2025-31492
- mod_auth_openidcの OIDCProviderAuthRequestMethod POST による保護されたデータの漏洩
- mod_auth_openidcは、OpenID Connect Relying Party機能を実装するApache 2.x HTTP サーバー用のOpenID Certified認証・承認モジュールです。2.4.16.11より前のバージョンでは、mod_auth_openidcのバグにより、認証されていないユーザーに保護されたコンテンツが公開されていました。公開の条件は下記となります。
- OIDCProviderAuthRequestMethod POST
- 有効なアカウントが存在すること
- サーバーを保護するアプリケーションレベルのゲートウェイ (またはロードバランサーなど)がないこと
- 保護されたリソースを要求すると、応答にHTTP ステータス/HTTP ヘッダー/意図された応答/保護されたリソース(ヘッダーなし)が含まれます。mod_auth_openidcがフォームを返す場合、httpdでエラーパスに進まないように、check_useridがOKを返す必要があります。oidc_content_handler は早い段階で呼び出され、httpdによって発行される通常の出力を防ぎます。oidc_content_handlerはタイミングをチェックするいくつかの機能を持っていますが、このケースはチェックされないため、ハンドラーがDECLINEDを返します。結果としてhttpdは保護されたコンテンツを応答に追加します。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- Red Hat Enterprise Linux/CentOS/Rocky Linux/Alma Linux
- Ubuntu
- SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。
