Red Hat Keycloak sérülékenységek
Angol cím: 
Red Hat Keycloak Vulnerabilities
CERT-Hungary ID: 
CH-14473
Felfedezés dátuma: 
2018-08-04
Összefoglaló: 

A Red Hat Keycloak két magas kockázati besorolású sérülékenységét jelentették, melyeket kihasználva a támadók bizalmas információkat szerezhetnek, illetve szolgáltatás megtagadást (DoS) idézhetnek elő.

Leírás: 
  • A Security Assertion Markup Language (SAML) üzenetek feldolgozása során a Picketlink funkció kicseréli az üzenet egyes speciális string részeit, hogy kiolvassa a megfelelő értékeket az üzenetből. Ezt kihasználva a támadó küldhet olyan speciálisan megszerkesztett üzenetet, amelynek segítségével bizalmas információkat tud szerezni.
  • A szoftver nem megfelelően kezeli a kilépési kéréseket, ha azok valamilyen kiegészítést tartalmaznak. Ezt kihasználva a támadó küldhet olyan speciálisan megszerkesztett kéréseket, amelyek feldolgozása végtelen ciklust idéz elő a SAMLSloRequestParser.parse() metódusban.
Megoldás: 
Frissítsen a legújabb verzióra
Érintett verziók: 
Red Hat Keycloak 2.5.x