Die Anfang März 2024 veröffentlichte Sicherheitslücke CVE-2024-24814 in Apache mod_auth_openidc erlaubt Angreifern effektive DoS-Angriffe (Denial-of-Service) zu starten.
Die Ursache ist eine fehlende Eingabeüberprüfung des Werts des mod_auth_openidc_session_chunks-Cookies. Ein Angreifer kann diese Sicherheitslücke ausnutzen, indem er eine Anfrage mit einem speziell erstellten Cookie-Wert sendet. Dieser Wert kann, wenn er nicht ordnungsgemäß validiert wird, dazu führen, dass der Server übermäßige Ressourcen verbraucht und abstürzt, wodurch er für legitime Benutzer nicht mehr verfügbar ist (DoS).
Um die Sicherheitslücke zu umgehen hilft es auf mod_auth_openidc Version 2.4.15.2 oder neuer zu aktualisieren. Diese Version behebt die Sicherheitslücke, indem sie eine ordnungsgemäße Eingabeüberprüfung für den Cookie-Wert implementiert. Anweisungen zum Upgrade finden Sie auf der offiziellen Website der Apache Software Foundation.
Deaktivieren Sie außerdem den OIDCSessionType wenn Sie die OIDCSessionType client-cookie-Funktionalität nicht explizit verwenden, um die Angriffsfläche zu verringern.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: