Dies Bundesamt zum Besten von Sicherheit in welcher Informationstechnik (BSI) hat am 14.10.2024 vereinigen Sicherheitshinweis zum Besten von Keycloak gemeldet. Die Software enthält mehrere Schwachstellen, die von Angreifern ausgenutzt werden können. Betroffen von welcher Sicherheitslücke sind die Betriebssysteme UNIX und Windows sowie dies Produkt Open Source Keycloak.

Die neuesten Hersteller-Empfehlungen wegen Updates, Workarounds und Sicherheitspatches zum Besten von ebendiese Sicherheitslücke finden Sie hier: GitHub Advisory Database (Stand: 14.10.2024). Weitere nützliche Quellen werden weiter unten in diesem Verpflichtung aufgeführt.

Mehrere Schwachstellen zum Besten von Keycloak gemeldet – Risiko: mittel

Risikostufe: 5 (mittel)
CVSS Cousine Score: 7,7
CVSS Zeitlich Score: 6,7
Remoteangriff: Ja

Zur Ordnung welcher Verwundbarkeit von Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Jener CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken uff Fundament verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Zu Gunsten von die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Jener Cousine Score bewertet die Voraussetzungen zum Besten von vereinigen Offensive (u.a. Authentifizierung, Schwierigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Jener Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen im Sinne als welcher Gefahrenlage. Jener Schweregrad welcher hier behandelten Schwachstelle wird nachdem dem CVSS mit einem Cousine Score von 7,7 qua „mittel“ eingeschätzt.

Keycloak Programmfehler: Zusammenfassung welcher aktuellen Schwachstellen

Keycloak ermöglicht Single Sign-On mit Identity and Access Management zum Besten von moderne Anwendungen und Dienste.

Ein entfernter authentifizierter oder anonymer Angreifer kann mehrere Schwachstellen in Keycloak ausnutzen, um Sicherheitsvorkehrungen zu umgehen und sich erweiterte Rechte zu verschaffen.

Von welcher Keycloak-Sicherheitslücke betroffene Systeme im Syllabus

Betriebssysteme
UNIX, Windows

Produkte
Open Source Keycloak <22.0.13 (cpe:/a:keycloak:keycloak)
Open Source Keycloak 22.0.13 (cpe:/a:keycloak:keycloak)
Open Source Keycloak <24.0.8 (cpe:/a:keycloak:keycloak)
Open Source Keycloak 24.0.8 (cpe:/a:keycloak:keycloak)
Open Source Keycloak <25.0.6 (cpe:/a:keycloak:keycloak)
Open Source Keycloak 25.0.6 (cpe:/a:keycloak:keycloak)
Open Source Keycloak <24.0.7 (cpe:/a:keycloak:keycloak)
Open Source Keycloak 24.0.7 (cpe:/a:keycloak:keycloak)
Open Source Keycloak <25.0.4 (cpe:/a:keycloak:keycloak)
Open Source Keycloak 25.0.4 (cpe:/a:keycloak:keycloak)

Allgemeine Maßnahmen zum Umgang mit IT-Schwachstellen

1. Nutzer welcher betroffenen Anwendungen sollten ebendiese uff dem aktuellsten Stand halten. Hersteller sind im Kontext Bekanntwerden von Sicherheitslücken dazu angehalten, ebendiese schnellstmöglich durch Fortentwicklung eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie ebendiese zeitnah.
2. Rat einholen Sie zu Informationszwecken die im nächsten Teil aufgeführten Quellen. Oft enthalten ebendiese weiterführende Informationen zur aktuellsten Version welcher betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich im Kontext weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welchem Zeitpunkt welcher von welcher IT-Sicherheitswarnung betroffene Hersteller ein neues Sicherheitsupdate zur Verfügung stellt.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen obig Programmfehler-Reports, Security-Fixes und Workarounds.

GitHub Advisory Database vom 2024-10-14 (14.10.2024)
Weitere Informationen finden Sie unter: https://github.com/advisories/GHSA-xmmm-jw76-q7vg

GitHub Advisory Database vom 2024-10-14 (14.10.2024)
Weitere Informationen finden Sie unter: https://github.com/advisories/GHSA-xgfv-xpx8-qhcr

Versionshistorie dieses Sicherheitshinweises

Dies ist die initiale Halterung des vorliegenden IT-Sicherheitshinweises zum Besten von Keycloak. Zusammen mit Publikation von Updates wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

14.10.2024 – Initiale Halterung

+++ Redaktioneller Rauchzeichen: Dieser Text wurde uff Fundament aktueller BSI-Datenansammlung generiert und wird je nachdem Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachsteigen Sie News.de schon im Kontext Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiterbahn zur Redaktion.
kns/roj/news.de