Keycloak Node.js adapterの脆弱性( CVE-2017-7474 )
05/08/2017にKeycloakの脆弱性情報(CVE-2017-7474)が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。
05/08/2017にKeycloakの脆弱性情報(CVE-2017-7474)が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
Priority
Important
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7474
認証の迂回の可能性
重要度 – Important
Keycloak Node.js adapter 2.5-3.0でトークンを正しく処理していないことが判明しました。これにより、攻撃者が認証を迂回して制限された情報にアクセスできる可能性があります。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
Debian
N/A(Red Hatで発生します)。
Red Hat Enterprise Linux/CentOS
Ubuntu
N/A(Red Hatで発生します)。
SUSE/openSUSE
N/A(Red Hatで発生します)。
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。
Red Hat Satelliteを用いた一般的なErattaの適用は、『Red Hat Satellite 6でerrataを適用してみる』を
参考にして下さい。