Keycloak Patches Multiple Vulnerabilities in Latest Update
2024/11/25 SecurityOnline — Keycloak がリリースしたのは、複数の脆弱性に対処するためのセキュリティ・アップデートである。それらが放置されると、このオープンソースの ID/アクセス管理プラットフォームにおいて、サービス拒否攻撃/情報漏えい/認証バイパスなどが生じる可能性がある。
今回のアップデートで対処された脆弱性は、以下の通りである。
- CVE-2024-10270 (CVSS 6.5):
SearchQueryUtilsメソッドに存在する脆弱性。攻撃者が引き起こすシステム・リソースの枯渇により、サービス拒否 (DoS:denial-of-service) 攻撃が誘発される可能性がある。 - CVE-2024-10451 (CVSS 5.9):ビルド・プロセス中に、パスワードなどの機密データが誤って bytecode に埋め込まれ、情報漏洩につながる可能性がある。
- CVE-2024-10039 (CVSS 7.1):相互 TLS (mTLS) 認証を用いるデプロイメントにおいて、ローカル・ネットワーク上の攻撃者が認証をバイパスし、ユーザー/クライアントになりすます可能性がある。この脆弱性のセキュリティ勧告は、「TLS のパス・スルー終端を使用しないリバース・プロキシで、mTLS を有効化している Keycloak をデプロイすると、脆弱性 CVE-2024-10039 の影響が生じることになる。この脆弱性の悪用に成功した、ローカル・ネットワーク上の攻撃者は、認証メカニズムとして mTLS を使用する任意のユーザー/クライアントとして認証される」と警告している。
なお、以下の脆弱性も修正されている。
- CVE-2024-9666 (CVSS 4.7):プロキシ・ヘッダーの不適切な処理に起因する、DoS 脆弱性。
- CVE-2024-10492 (CVSS 2.7):高い特権をもつ攻撃者が、Vault ファイルから機密情報へと不正アクセスする可能性が生じる。
すでに Keycloak は、パッチが適用されたバージョン (24.0.9/26.0.6) をリリースしている。ユーザーに対して推奨されるのは、最新バージョンへと直ちにアップデートし、これらのリスクを軽減することだ。
Keycloak の5件の脆弱性が FIX しました。それほど深刻度の高いものはありませんが、ご利用のチームは、ご注意ください。なお、Keycloak に関する直近のトピックは、2024/10/10 の「Keycloak の脆弱性 CVE-2024-3656 が FIX:権限昇格などの恐れ」となります。よろしければ、Keycloak で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.