DFN-CERT-2018-0076 Keycloak Installationswerkzeug: Zwei Schwachstellen ermöglichen die Manipulation von Dateien und das Ausspähen von Informationen [Linux][Fedora]

DFN-CERT-2018-0076 Keycloak Installationswerkzeug: Zwei Schwachstellen ermöglichen die Manipulation von Dateien und das Ausspähen von Informationen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Keycloak Installationswerkzeug (keycloak-httpd-client-install) < 0.8 Betroffene Plattformen: Red Hat Fedora 26 Red Hat Fedora 27 Zwei Schwachstellen im Keycloak Installationswerkzeug keycloak-httpd-client-install ermöglichen einem lokalen, nicht authentisierten Angreifer das Ausspähen von Informationen und die Manipulation von Dateien. Die Schwachstellen werden vom Hersteller mit Version 0.8 der Software behoben und als unkritisch eingestuft, da eine aktive Ausnutzung die fahrlässige Verwendung von Kommandozeiloenoptionen voraussetzt (CVE-2017-15112) oder Entwicklungssysteme betrifft (CVE-2017-15111). Für Fedora 26 und 27 stehen Sicherheitsupdates auf Version 0.8 im Status 'testing' bereit. Patch: Fedora Security Update FEDORA-2018-2299cfb708 (Fedora 27, keycloak-httpd-client-install-0.8-1.fc27) https://bodhi.fedoraproject.org/updates/FEDORA-2018-2299cfb708

Patch:

Fedora Security Updates FEDORA-2018-66b885ae3c (Fedora 26,
keycloak-httpd-client-install-0.8-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2018-66b885ae3c

CVE-2017-15112: Schwachstelle in keycloak-httpd-client-install ermöglicht
Ausspähen von Informationen

Über die Kommandozeilenoptionen ‘-p –keycloak-admin-password’ und
‘–admin-password’ können Passwörter an die Kommandozeile übergeben werden,
die in der Folge in den Prozessinformationen auftauchen und durch einen
lokalen, nicht authentisierten Angreifer über die Shell-Historie ausgespäht
werden können.

CVE-2017-15111: Schwachstelle in keycloak-httpd-client-install ermöglicht
Manipulation von Daten

Logdateien, welche bei der Ausführung von durch
keycloak-httpd-client-install zur Verfügung gestellte
Kommandozeilenwerkzeuge angelegt und befüllt werden, werden unterhalb von
‘/tmp’ gespeichert. Ein lokaler, nicht authentisierter Angreifer kann die
Schwachstelle in ‘keycloak_cli.py’ mit Hilfe einer symbolischen Verknüpfung
in diesem Verzeichnis ausnutzen, um die Ausgabe auf andere Dateien
umzuleiten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0076/

Schwachstelle CVE-2017-15111 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15111

Schwachstelle CVE-2017-15112 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15112

Fedora Security Update FEDORA-2018-2299cfb708 (Fedora 27,
keycloak-httpd-client-install-0.8-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-2299cfb708

Fedora Security Updates FEDORA-2018-66b885ae3c (Fedora 26,
keycloak-httpd-client-install-0.8-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2018-66b885ae3c

GitHub Commit zu CVE-2017-15111: unsafe /tmp log file in –log-file option in
keycloak_cli.py:
https://github.com/jdennis/keycloak-httpd-client-install/commit/07f26e213196936fb328ea0c1d5a66a09d8b5440

GitHub Commit zu CVE-2017-15112: unsafe use of -p/–admin-password on command
line:
https://github.com/jdennis/keycloak-httpd-client-install/commit/c3121b271abaaa1a76de2b9ae89dacde0105cd75

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben