2017-1835: Red Hat Single Sign-On: Mehrere Schwachstellen ermöglichen u.a. einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2017-10-18 20:38)

Neues Advisory

Betroffene Software

Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen in Keycloak ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung eines Cross-Site-Scripting-Angriffs und die Übernahme der Sitzung eines angemeldeten Benutzers. Eine weitere Schwachstelle ermöglicht einem entfernten, einfach authentisierten Angreifer die Eskalation seiner Privilegien auf einer bereits kompromittierten Ressource. Darüber hinaus existiert eine Schwachstelle in libpam4j, durch die ein entfernter, einfach authentisierter Angreifer Sicherheitsvorkehrungen umgehen und in der Folge beispielsweise Informationen ausspähen kann.

Die betroffenen Produkte werden in Red Hat Single Sign-On eingesetzt. Red Hat stellt Red Hat Single Sign-On 7.1.3 als Sicherheitsupdate für Red Hat Enterprise Linux 6 und 7 zur Verfügung.

Schwachstellen:

CVE-2017-12158

Schwachstelle in Keycloak ermöglicht Cross-Site-Scripting-Angriff

CVE-2017-12159

Schwachstelle in Keycloak ermöglicht Erlangen von Benutzerrechten

CVE-2017-12160

Schwachstelle in Keycloak ermöglicht Eskalation von Privilegien

CVE-2017-12197

Schwachstelle in libpam4j ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.