2018-0076: Keycloak Installationswerkzeug: Zwei Schwachstellen ermöglichen die Manipulation von Dateien und das Ausspähen von Informationen

Historie:

Version 1 (2018-01-12 11:07)

Neues Advisory

Version 2 (2019-08-06 20:39)

Red Hat stellt für die Red Hat Enterprise Linux Produktvarianten Server und Workstation jeweils in Version 7 Sicherheitsupdates bereit, um die Schwachstellen zu beheben.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen im Keycloak Installationswerkzeug keycloak-httpd-client-install ermöglichen einem lokalen, nicht authentisierten Angreifer das Ausspähen von Informationen und die Manipulation von Dateien.

Die Schwachstellen werden vom Hersteller mit Version 0.8 der Software behoben und als unkritisch eingestuft, da eine aktive Ausnutzung die fahrlässige Verwendung von Kommandozeiloenoptionen voraussetzt (CVE-2017-15112) oder Entwicklungssysteme betrifft (CVE-2017-15111).

Für Fedora 26 und 27 stehen Sicherheitsupdates auf Version 0.8 im Status 'testing' bereit.

Schwachstellen:

CVE-2017-15111

Schwachstelle in keycloak-httpd-client-install ermöglicht Manipulation von Daten

CVE-2017-15112

Schwachstelle in keycloak-httpd-client-install ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.