Dasjenige Bundesamt zum Besten von Sicherheit in jener Informationstechnik (BSI) hat am 21.11.2024 zusammenführen Sicherheitshinweis zum Besten von Keycloak gemeldet. Die Meldung führt mehrere Schwachstellen aufwärts, die zusammenführen Überfall geben. Betroffen von jener Sicherheitslücke sind dasjenige operating system UNIX sowie die Produkte Open Source Keycloak und Red Hat OpenShift.

Die neuesten Hersteller-Empfehlungen in Hinblick auf Updates, Workarounds und Sicherheitspatches zum Besten von jene Sicherheitslücke finden Sie hier: Red Hat Security Advisory (Stand: 21.11.2024). Weitere nützliche Sinister werden weiter unten in diesem Einschränkung aufgeführt.

Mehrere Schwachstellen zum Besten von Keycloak gemeldet – Risiko: mittel

Risikostufe: 3 (mittel)
CVSS Kusine Score: 7,1
CVSS Zeitlich Score: 6,2
Remoteangriff: Nein

Zur Ordnung des Schweregrads von Sicherheitsanfälligkeiten in Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken aufwärts Stützpunkt verschiedener Metriken miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Herbeiführen von Gegenmaßnahmen zu erstellen. Z. Hd. die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Dieser Kusine Score bewertet die Voraussetzungen zum Besten von zusammenführen Überfall (u.a. Authentifizierung, Vielschichtigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen gut die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Die Gefährdung jener aktuellen Schwachstelle wird nachdem dem CVSS mit einem Kusine Score von 7,1 qua „mittel“ eingestuft.

Keycloak Programmierfehler: Schwachstellen und CVE-Nummern

Keycloak ermöglicht Single Sign-On mit Identity and Access Management zum Besten von moderne Anwendungen und Dienste.Red Hat OpenShift ist eine „Platform as a Tafelgeschirr“ (PaaS) Problemlösung zur Zurverfügungstellung von Applikationen in jener Cloud.

Ein Angreifer kann mehrere Schwachstellen in Keycloak und Red Hat OpenShift ausnutzen, um Sicherheitsmaßnahmen zu umgehen, vertrauliche Informationen preiszugeben und zusammenführen Denial-of-Tafelgeschirr-Zustand zu erzeugen

Die Verwundbarkeit wird mit den eindeutigen CVE-Identifikationsnummern (Common Vulnerabilities and Exposures) CVE-2024-10039, CVE-2024-10270, CVE-2024-10451, CVE-2024-10492 und CVE-2024-9666 gehandelt.

Von jener Keycloak-Sicherheitslücke betroffene Systeme im Zusammenfassung

operating system
UNIX

Produkte
Open Source Keycloak <26.0.6 (cpe:/a:keycloak:keycloak)
Open Source Keycloak 26.0.6 (cpe:/a:keycloak:keycloak)
Red Hat OpenShift Keycloak <24.0.9 (cpe:/a:redhat:openshift)
Red Hat OpenShift Keycloak 24.0.9 (cpe:/a:redhat:openshift)
Red Hat OpenShift Keycloak <26.0.6 (cpe:/a:redhat:openshift)
Red Hat OpenShift Keycloak 26.0.6 (cpe:/a:redhat:openshift)
Red Hat OpenShift Keycloak <24 (cpe:/a:redhat:openshift)
Red Hat OpenShift Keycloak 24 (cpe:/a:redhat:openshift)
Red Hat OpenShift Keycloak <26.0 (cpe:/a:redhat:openshift)
Red Hat OpenShift Keycloak 26.0 (cpe:/a:redhat:openshift)

Allgemeine Maßnahmen zum Umgang mit IT-Sicherheitslücken

1. Benutzer jener betroffenen Anwendungen sollten jene aufwärts dem aktuellsten Stand halten. Hersteller sind im Kontext Bekanntwerden von Sicherheitslücken dazu angehalten, jene schnellstmöglich durch Entwicklungsprozess eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie jene zeitnah.
2. Um Rat fragen Sie zu Informationszwecken die im nächsten Stufe aufgeführten Quellen. Vielerorts enthalten jene weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich im Kontext weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen gut Programmierfehler-Reports, Security-Fixes und Workarounds.

Red Hat Security Advisory vom 2024-11-21 (21.11.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:10178

Red Hat Security Advisory vom 2024-11-21 (21.11.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:10177

Red Hat Security Advisory vom 2024-11-21 (21.11.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:10176

Red Hat Security Advisory vom 2024-11-21 (21.11.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2024:10175

Keycloak Release Notes vom 2024-11-21 (21.11.2024)
Weitere Informationen finden Sie unter: https://www.keycloak.org/2024/11/keycloak-2606-released

Keycloak Release Notes vom 2024-11-21 (21.11.2024)
Weitere Informationen finden Sie unter: https://www.keycloak.org/2024/11/keycloak-2605-released

Keycloak Release Notes vom 2024-11-21 (21.11.2024)
Weitere Informationen finden Sie unter: https://www.keycloak.org/2024/10/keycloak-2602-released

Keycloak Release Notes vom 2024-11-21 (21.11.2024)
Weitere Informationen finden Sie unter: https://www.keycloak.org/2024/10/keycloak-2601-released

RedHat Customer Tunneleingang vom 2024-11-21 (21.11.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/security/cve/CVE-2024-10492

RedHat Customer Tunneleingang vom 2024-11-21 (21.11.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/security/cve/CVE-2024-10451

RedHat Customer Tunneleingang vom 2024-11-21 (21.11.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/security/cve/CVE-2024-10270

RedHat Customer Tunneleingang vom 2024-11-21 (21.11.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/security/cve/CVE-2024-10039

RedHat Customer Tunneleingang vom 2024-11-21 (21.11.2024)
Weitere Informationen finden Sie unter: https://access.redhat.com/security/cve/CVE-2024-9666

Versionshistorie dieses Sicherheitshinweises

Dies ist die initiale Steckdose des vorliegenden IT-Sicherheitshinweises zum Besten von Keycloak. Sollten Updates bekanntgegeben werden, wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie via jener folgenden Versionshistorie reproduzieren.

21.11.2024 – Initiale Steckdose

+++ Redaktioneller Kennziffer: Dieser Text wurde aufwärts Stützpunkt aktueller BSI-Datenmaterial generiert und wird je nachdem Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Gehorchen Sie News.de schon im Kontext Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Litze zur Redaktion.
kns/roj/news.de