2020-2426: Red Hat Single Sign-On: Mehrere Schwachstellen ermöglichen u. a. das Ausspähen von Informationen

Historie:

Version 1 (2020-11-06 13:39)

Neues Advisory

Version 2 (2020-11-09 19:03)

Red Hat informiert darüber, dass mit dem Sicherheitsupdate auch eine bisher nicht aufgeführte Schwachstelle in Keycloak behoben wird, die einem Angreifer das Ausspähen von Informationen aus der Ferne in einem Pfadtraversierungsangriff ermöglicht (CVE-2020-14366).

Betroffene Software

Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer, der zum Teil über niedrige und in einem Fall über erweiterte Rechte verfügt, kann mehrere Schwachstellen aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen, Dateien zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen und einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben. Ein Angreifer kann eine weitere Schwachstelle im benachbarten Netzwerk ausnutzen, um Informationen auszuspähen.

Red Hat stellt die neue Version 7.4.3 von Red Hat Single Sign-On 7.4 als Sicherheitsupdate zur Behebung der Schwachstellen in den Komponenten Apache CXF, JBoss EAP, Wildfly sowie xnio und in Keycloak selbst bereit.

Schwachstellen:

CVE-2020-10776

Schwachstelle in Keycloak ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-14299

Schwachstelle in JBoss EAP ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-14338

Schwachstelle in Wildfly ermöglicht Manipulation von Dateien

CVE-2020-14340

Schwachstelle in xnio ermöglicht Denial-of-Service-Angriff

CVE-2020-14366

Schwachstelle in Keycloak ermöglicht Ausspähen von Informationen

CVE-2020-14389

Schwachstelle in Keycloak ermöglicht u. a. Manipulation von Dateien

CVE-2020-1954

Schwachstelle in Apache CXF ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.