CVE-2021-32791— mod_auth_openidc 安全特征问题漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2021-32791 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Hardcoded static IV and AAD with a reused key in AES GCM encryption in mod_auth_openidc
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
mod_auth_openidc is an authentication/authorization module for the Apache 2.x HTTP server that functions as an OpenID Connect Relying Party, authenticating users against an OpenID Connect Provider. In mod_auth_openidc before version 2.4.9, the AES GCM encryption in mod_auth_openidc uses a static IV and AAD. It is important to fix because this creates a static nonce and since aes-gcm is a stream cipher, this can lead to known cryptographic issues, since the same key is being reused. From 2.4.9 onwards this has been patched to use dynamic values through usage of cjose AES encryption routines.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
在加密中重用Nonce与密钥对
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
mod_auth_openidc 安全特征问题漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
mod_auth_openidc是一个应用软件。是 Apache 2.x HTTP 服务器的身份验证/授权模块,用作OpenID Connect 依赖方,根据 OpenID Connect 提供程序对用户进行身份验证。 Zmartzone mod_auth_openidc存在安全漏洞,该漏洞源于 mod_auth_openidc 中的 AES GCM 加密使用静态 IV 和 AAD。这会导致加密问题,因为相同的密钥正在被重用。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| zmartzone | mod_auth_openidc | < 2.4.9 | - |
二、漏洞 CVE-2021-32791 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2021-32791 的情报信息
请登录查看更多情报信息。
CVE-2021-32791 补丁与修复 (1)
CVE-2021-32791 厂商安全公告 (2)
CVE-2021-32791 邮件列表归档 (3)
CVE-2021-32791 其他参考 (1)
IV. Related Vulnerabilities
V. Comments for CVE-2021-32791
暂无评论