Keycloak Patches Vulnerabilities, Mitigates DDoS and Data Theft Risks
2024/04/18 SecurityOnline — 認証/認可のための OSS ソリューションとして人気の Keycloak が、複数の脆弱性に対処するためのセキュリティ・アップデートをリリースした。これらの脆弱性が悪用されると、サービス拒否攻撃や、機密データの流出などの可能性が生じる。影響を受けるバージョンを使用している場合には、パッチが適用された Keycloak 22.0.10/24.0.3 へと、直ちにアップデートするよう推奨される。
パッチ適用された脆弱性
- CVE-2024-1249 (CVSS:7.4):分散型サービス拒否 (DDoS:Distributed Denial of Service) の脆弱性:この脆弱性は checkLoginIframe 機能の欠陥に起因するものであり、悪用に成功した攻撃者は、検証されていないクロス・オリジン・メッセージを送信することで、Keycloak インスタンスを過負荷状態に陥らせる可能性を持つ。
- CVE-2024-1132 (CVSS:8.1):パス・トラバーサル/情報漏洩の脆弱性:リダイレクト URL の不十分な検証に起因するもので、悪用に成功した攻撃者は、悪意のリクエストを作成し、無許可の情報への不正アクセスや、さらなる悪用を行う可能性を持つ。この脆弱性は、主にリダイレクト URI に対して、ワイルド・カードを使用しているインストールに対して影響を及ぼす。
- CVE-2024-2419 (CVSS:7.1):パス・トラバーサル/なりすましの脆弱性:CVE-2024-1132 と同様に、Keycloak のリダイレクト URI の検証の欠陥により、 アクセス・トークンが盗まれる可能性がある。それにより、攻撃者は正当なユーザーを装うことが可能になる。
脆弱性の影響と推奨事項
これらの脆弱性は、たとえ Keycloak のような信頼できるオープンソースのソリューションであっても、ソフトウェア・アップデートを怠らないことの重要性を強調している。パッチ適用を怠ると、アプリケーションや機密性の高いユーザー・データを危険にさらす可能性が生じる。
これらの脆弱性に対する、必要な対策は以下の通りだ:
- バージョンの確認:一連の脆弱性の影響を受けるバージョン 22.0.10/24.0.3 未満を、使用していないことを確認する。
- 直ちにアップデート:必要に応じて、利用可能なパッチ 22.0.10/24.0.3 を、可能な限り早急に適用する。詳細なガイダンスについては、Keycloak の Web サイトで確認できる。
- アドバイザリのチェック:Keycloak project からのセキュリティ・アップデートに注意し、追加のアドバイザリをチェックする。
Keycloak ですが、「最新のアプリケーションとサービスを対象とした、ID およびアクセス管理による SSO を可能にするオープンソースである。 2018年3月の時点で、この WildFly コミュニティ・プロジェクトは Red Hat の管理下にあり、Keycloak における Red Hat ビルドの、上流プロジェクトとして使用されている。Keycloak は、OpenID/OAuth 2.0/SAMLなどの、さまざまなプロトコルをサポートし、ユーザー管理/2要素認証/権限とロールの管理/トークンサービスの作成などの機能を提供する」と、Wikipedia で説明されていました。このブログでは初登場ですが、影響の範囲が広そうです。よろしければ、カテゴリ AuthN AuthZ も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.