2018-2337: Keycloak: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen
Historie:
- Version 1 (2018-11-15 11:06)
- Neues Advisory
- Version 2 (2018-11-28 11:38)
- Red Hat informiert über eine weitere mit RHSA-2018:3593 und RHSA-2018:3595 behobene Schwachstelle in Keycloak, die einem entfernten, nicht authentisierten Angreifer einen Man-in-the-Middle-Angriff ermöglicht (CVE-2018-14637).
Betroffene Software
Sicherheit
Betroffene Plattformen
Linux
Beschreibung:
Mehrere Schwachstellen in Red Hat Single Sign-On ermöglichen auch einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen. Eine weitere Schwachstelle ermöglicht einem entfernten, einfach authentisierten Angreifer die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs gegen den Login. Ein entfernter, nicht authentisierter Angreifer in einer privilegierten Position im Netzwerk kann eine Schwachstelle in JBoss/WildFly ausnutzen, um Verbindungsinhalte im Klartext auszuspähen, auch wenn SSL für eingehende Verbindungen konfiguriert ist.
Diese Schwachstellen werden mit Red Hat Single Sign-On 7.2.5 behoben. Für Red Hat Enterprise Linux 6 und 7 stehen Sicherheitsupdates auf diese Version bereit, welche nicht die Schwachstelle in JBoss/WildFly adressieren.
Schwachstellen:
CVE-2018-10894
Schwachstelle in Keycloak ermöglicht u. a. Umgehen von SicherheitsvorkehrungenCVE-2018-14627
Schwachstelle in JBoss/WildFly ermöglicht Ausspähen von InformationenCVE-2018-14637
Schwachstelle in Keycloak ermöglicht Man-in-the-Middle-AngriffCVE-2018-14655
Schwachstelle in Keycloak ermöglicht Cross-Site-Scripting-AngriffCVE-2018-14657
Schwachstelle in Keycloak ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-14658
Schwachstelle in Keycloak ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.