Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en el módulo mod_auth_openidc del servidor HTTP Apache (CVE-2021-32785)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-134 Utilización de formatos de cadenas de control externo
Fecha de publicación:
22/07/2021
Última modificación:
30/01/2024

Descripción

mod_auth_openidc es un módulo de autenticación/autorización para el servidor HTTP Apache versión 2.x que funciona como OpenID Connect Relying Party, autenticando a usuarios contra un OpenID Connect Provider. Cuando mod_auth_openidc versiones anteriores a 2.4.9 están configuradas para usar una caché Redis no cifrada ("OIDCCacheEncrypt off", "OIDCSessionType server-cache", "OIDCCacheType redis"), "mod_auth_openidc" llevaba a cabo erróneamente la interpolación de argumentos antes de pasar las peticiones de Redis a "hiredis", que lo llevaría a cabo de nuevo y conlleva a un bug de cadena de formato no controlado. La evaluación inicial muestra que este bug no parece permitir ganar la ejecución de código arbitrario, pero puede provocar de forma fiable una denegación de servicio al bloquear repetidamente los trabajadores de Apache. Este bug se ha corregido en versión 2.4.9 al llevar a cabo la interpolación de argumentos sólo una vez, usando la API "hiredis". Como solución, esta vulnerabilidad puede ser mitigada ajustando "OIDCCacheEncrypt" a "on", ya que las claves de la caché son criptografiadas con hash antes de su uso cuando esta opción está activada

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Vector 2.0
AV:N/AC:M/Au:N/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:N/I:N/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico

Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:openidc:mod_auth_openidc:*:*:*:*:*:*:*:* 2.4.9 (excluyendo)
cpe:2.3:a:apache:http_server:*:*:*:*:*:*:*:* 2.0.0 (incluyendo) 2.4.48 (incluyendo)
cpe:2.3:a:netapp:cloud_backup:-:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información