Dasjenige Bundesamt zu Händen Sicherheit in jener Informationstechnik (BSI) hat am 20.02.2025 verschmelzen Sicherheitshinweis zu Händen Keycloak veröffentlicht. Betroffen von jener Sicherheitslücke sind die Betriebssysteme Linux und UNIX sowie dasjenige Produkt Open Source Keycloak.

Die neuesten Hersteller-Empfehlungen hinsichtlich Updates, Workarounds und Sicherheitspatches zu Händen selbige Sicherheitslücke finden Sie hier: GitHub Advisory Database (Stand: 20.02.2025).

Sicherheitshinweis zu Händen Keycloak – Risiko: tief

Risikostufe: 3 (tief)
CVSS Kusine Score: 3,8
CVSS Zeitlich Score: 3,5
Remoteangriff: Ja

Zur Ordnung jener Verwundbarkeit von Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken gen Sockel verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Zu Gunsten von die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Dieser Kusine Score bewertet die Voraussetzungen zu Händen verschmelzen Offensive (u.a. Authentifizierung, Kompliziertheit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Dieser Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen in Form von jener Gefahrenlage. Die Gefährdung jener aktuellen Schwachstelle wird nachher dem CVSS mit einem Kusine Score von 3,8 wie „tief“ eingeschätzt.

Keycloak Programmfehler: Schwachstelle ermöglicht Cross-Site Scripting

Keycloak ermöglicht Single Sign-On mit Identity and Access Management zu Händen moderne Anwendungen und Dienste.

Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Keycloak ausnutzen, um verschmelzen Cross-Site Scripting Offensive durchzuführen.

Die Verwundbarkeit wird mit jener eindeutigen CVE-Identifikationsnummer (Common Vulnerabilities and Exposures) CVE-2024-4028 gehandelt.

Von jener Keycloak-Sicherheitslücke betroffene Systeme im Zusammenfassung

Betriebssysteme
Linux, UNIX

Produkte
Open Source Keycloak <=26.1.2 (cpe:/a:keycloak:keycloak)
Open Source Keycloak <=26.1.2 (cpe:/a:keycloak:keycloak)

Allgemeine Maßnahmen zum Umgang mit IT-Schwachstellen

1. User jener betroffenen Systeme sollten selbige gen dem aktuellsten Stand halten. Hersteller sind c/o Bekanntwerden von Sicherheitslücken dazu angehalten, selbige schnellstmöglich durch Fortgang eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie selbige zeitnah.
2. Sich beraten lassen Sie zu Informationszwecken die im nächsten Fragment aufgeführten Quellen. Vielmals enthalten selbige weiterführende Informationen zur aktuellsten Version jener betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich c/o weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen reichlich Programmfehler-Reports, Security-Fixes und Workarounds.

GitHub Advisory Database vom 2025-02-20 (20.02.2025)
Weitere Informationen finden Sie unter: https://github.com/advisories/GHSA-q4xq-445g-g6ch

Versionshistorie dieses Sicherheitshinweises

Dies ist die initiale Halterung des vorliegenden IT-Sicherheitshinweises zu Händen Keycloak. Im Zusammenhang Kundgabe von Updates wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

20.02.2025 – Initiale Halterung

+++ Redaktioneller Tabelle: Dieser Text wurde gen Sockel aktueller BSI-Datenmaterial generiert und wird je nachher Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachstellen Sie News.de schon c/o Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiter zur Redaktion.
kns/roj/news.de