Уязвимость в модуле Apache mod_auth_openidc: может предоставить неаутентифицированным пользователям доступ к защищенному контенту

В модуле mod_auth_openidc для аутентификации и авторизации OpenID Connect в сервере Apache HTTP была обнаружена серьезная уязвимость в области безопасности. Эта проблема может позволить неаутентифицированным пользователям получить доступ к защищенным веб-ресурсам.

Уязвимость, получившая название CVE-2025-31492, имеет балл CVSSv4 8.2 и затрагивает широко используемую систему аутентификации OpenID Connect. Она требует немедленных мер со стороны администраторов систем.

Уязвимость в модуле mod_auth_openidc позволяет неаутентифицированным пользователям получить доступ к контенту, скрытому за аутентификационными протоколами. Проблема существует в версиях до 2.4.16.11, особенно в системах, настроенных с политикой аутентификации OIDCProviderAuthRequestMethod POST и Require valid-user. В этом случае, если на сервере не установлен шлюз на уровне приложений (например, обратный прокси или балансировщик нагрузки), неаутентифицированные пользователи могут получить доступ к защищенным веб-ресурсам.

По официальному предупреждению безопасности OpenIDC, эта ошибка возникает, когда на сервер отправляется запрос без требования аутентификации пользователя. В результате сервер Apache предоставляет не только форму аутентификации, но и фактический защищенный контент, что фактически отменяет защиту аутентификации.

Уязвимость возникает из-за ошибки в системе обработки контента модуля mod_auth_openidc. В неправильно настроенных системах, когда неаутентифицированный пользователь запрашивает защищенный ресурс, сервер отправляет многокомпонентный ответ, включающий не только форму аутентификации, но и сам защищенный контент. В этом случае функция oidc_content_handler работает неправильно, и сервер предоставляет пользователю защищенный контент.

В процессе работы системы, когда функция check_userid возвращает OK, сервер Apache пытается предоставить защищенный ресурс, что приводит к уязвимостям безопасности, поскольку пользователь может увидеть контент без каких-либо проблем.

Для устранения уязвимости в модуле Apache mod_auth_openidc предлагаются несколько решений:

  1. Установить обновление: Проблема была исправлена в версии модуля mod_auth_openidc 2.4.16.11. Системы должны быть обновлены до этой версии.
  2. Изменить метод аутентификации: Изменение параметра OIDCProviderAuthRequestMethod на GET предотвратит активацию уязвимости и обеспечит безопасность.
  3. Использование шлюза: Установка шлюза на уровне приложений (например, обратного прокси или балансировщика нагрузки) поможет скрыть защищенный контент от неаутентифицированных пользователей.

Эксперты по безопасности подчеркивают, что установка шлюза на уровне приложений или обратного прокси является эффективным способом решения этой проблемы.

Уязвимость CVE-2025-31492 в модуле Apache mod_auth_openidc может предоставить неаутентифицированным пользователям доступ к защищенным веб-ресурсам, что представляет собой серьезную угрозу. Эта проблема может затронуть все серверы Apache, поэтому администраторам систем необходимо немедленно установить обновления, проверить методы аутентификации и принять меры безопасности.