Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Keycloak < 3.1.0 Red Hat Single Sign-On 7.1 Betroffene Plattformen: Red Hat Enterprise Linux 6 Red Hat Enterprise Linux 7 Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Keycloak ausnutzen, um den Authentifizierungsmechanismus zu Umgehen und in der Folge Zugang zu sensitiven Benutzerinformationen erlangen oder weitere Angriffe durchführen. Der Hersteller stellt Keycloak 3.1.0 als Sicherheitsupdate bereit. Red Hat informiert darüber, dass die Schwachstelle auch Red Hat Single Sign-On 7.1 betrifft und stellt Sicherheitsupdates zur Verfügung. Red Hat Single Sign-On ist in dieser Version für Red Hat Enterprise Linux 6 und 7 erhältlich. Patch: Keycloak 3.1.0 Release Notes http://blog.keycloak.org/2017/05/keycloak-310final-released.html

Patch:

Red Hat Security Advisory RHSA-2017:1203

http://rhn.redhat.com/errata/RHSA-2017-1203.html

CVE-2017-7474: Schwachstelle in Keycloak ermöglicht Umgehen von
Sicherheitsvorkehrungen

Der Node.js-Adapter von Keycloak behandelt ungültige Sitzungstoken nicht
korrekt. Die Gültigkeit solcher Token wird in der Funktion ‘validateGrant’
im Grant Manager aus den Node.js Auth-Utils ignoriert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0800/

Keycloak 3.1.0 Release Notes:
http://blog.keycloak.org/2017/05/keycloak-310final-released.html

Red Hat Security Advisory RHSA-2017:1203:
http://rhn.redhat.com/errata/RHSA-2017-1203.html

Schwachstelle CVE-2017-7474 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7474

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.