Apache mod_auth_openidc modulidagi zaiflik: Tasdiqlanmagan foydalanuvchilarga himoyalangan kontentni ko‘rsatishi mumkin

Apache HTTP serverining OpenID Connect autentifikatsiyasi va avtorizatsiyasi uchun mo‘ljallangan mod_auth_openidc modulida jiddiy xavfsizlik zaifligi aniqlangan. Bu muammo, tasdiqlanmagan foydalanuvchilarga himoyalangan veb-resurslarga kirish imkonini berishi mumkin.

CVE-2025-31492 deb nomlangan va CVSSv4 bo‘yicha 8.2 balldan iborat bo‘lgan bu zaiflik, keng tarqalgan OpenID Connect autentifikatsiya tizimlarini ta’sir qiladi va tizim administratorlaridan tezkor choralar ko‘rishni talab qiladi.

Apache mod_auth_openidc modulidagi zaiflik, tasdiqlanmagan foydalanuvchilarga autentifikatsiya protokollari orqasida yashirilgan kontentga kirish imkoniyatini beradi. Zaiflik, 2.4.16.11 versiyasidan avvalgi barcha versiyalarda mavjud bo‘lib, ayniqsa, OIDCProviderAuthRequestMethod POST va Require valid-user autentifikatsiya siyosati bilan sozlangan tizimlarda yuzaga keladi. Bunda, agar serverda ilovalar darajasidagi gateway (masalan, teskari proksi yoki yuk balanslovchi) o‘rnatilmasa, himoyalangan veb-resurslarga tasdiqlanmagan foydalanuvchilar kirishi mumkin.

OpenIDC tomonidan e’lon qilingan rasmiy xavfsizlik ogohlantirishiga ko‘ra, bu xatolik serverga foydalanuvchi autentifikatsiyasi talab etilmaydigan so‘rov yuborilganda, Apache serveri foydalanuvchiga faqat autentifikatsiya formasini emas, balki asl himoyalangan kontentni ham taqdim etadi. Bu esa, autentifikatsiya himoyalarini deyarli bekor qiladi.

Zaiflik, mod_auth_openidc modulining kontentni qayta ishlash tizimidagi xatolikdan kelib chiqadi. Noto‘g‘ri sozlangan tizimlarda, tasdiqlanmagan foydalanuvchi himoyalangan resursni so‘raganida, server multipart javobni yuboradi, bunda nafaqat autentifikatsiya formasi, balki asl himoyalangan kontent ham bor. Bu holatda, oidc_content_handler funksiyasi noto‘g‘ri ishlaydi va server foydalanuvchiga himoyalangan kontentni taqdim etadi.

Tizimda ishlash jarayonida, check_userid funksiyasi OK qaytarganda, Apache serveri himoyalangan resursni taqdim etishga harakat qiladi. Bu esa xavfsizlik xatoliklariga olib keladi, chunki foydalanuvchi hech qanday muammo sezmasdan kontentni ko‘rishi mumkin.

Apache mod_auth_openidc modulidagi zaiflikni bartaraf etish uchun bir nechta choralar mavjud:

1. Yangilanishni o‘rnatish: Muammo, mod_auth_openidc modulining 2.4.16.11 versiyasida hal qilingan. Tizimlar ushbu versiyaga yangilanishi kerak.
2. Autentifikatsiya metodini o‘zgartirish: OIDCProviderAuthRequestMethod parametrini GET ga o‘zgartirish, bu zaiflikni faollashtirmaydi va xavfsizlikni ta’minlaydi.
3. Gateway qo‘llash: Ilovalar darajasidagi gateway (masalan, teskari proksi yoki yuk balanslovchi) o‘rnatish, himoyalangan kontentni tasdiqlanmagan foydalanuvchilardan yashirishga yordam beradi.

Xavfsizlik mutaxassislari, serverda ilovalar darajasidagi gateway yoki teskari proksi o‘rnatish orqali bu muammoni samarali ravishda hal qilish mumkinligini ta’kidlamoqda.

Apache mod_auth_openidc modulidagi CVE-2025-31492 zaifligi, tasdiqlanmagan foydalanuvchilarga himoyalangan veb-resurslarga kirish imkoniyatini yaratishi mumkin, bu esa jiddiy xavf tug‘diradi. Ushbu muammo barcha Apache serverlarini ta’sir qilishi mumkin, shuning uchun tizim administratorlari darhol yangilanishlarni o‘rnatishlari, autentifikatsiya metodlarini tekshirishlari va xavfsizlik choralari ko‘rishlari zarur.