📚 Red Hat Single Sign-On 7.0 Keycloak schwache Authentisierung
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine Schwachstelle wurde in Red Hat Single Sign-On 7.0 entdeckt. Sie wurde als kritisch eingestuft. Es geht hierbei um eine unbekannte Funktion der Komponente Keycloak. Dank Manipulation mit einer unbekannten Eingabe kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 13.12.2016 als RHSA-2016:2945-1 in Form eines bestätigten Security Advisories (Website) herausgegeben. Auf rhn.redhat.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-8609 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$5k kosten.
Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen.
Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1037460) dokumentiert.
CVSSv3
Base Score: 7.3 [?]Temp Score: 7.0 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:C [?]
Zuverlässigkeit: High
CVSSv2
Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: High
CPE
Exploiting
Klasse: Schwache AuthentisierungLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: PatchStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Timeline
13.12.2016 Advisory veröffentlicht13.12.2016 SecurityTracker Eintrag erstellt
19.12.2016 VulDB Eintrag erstellt
19.12.2016 VulDB letzte Aktualisierung
Quellen
Advisory: RHSA-2016:2945-1Status: Bestätigt
CVE: CVE-2016-8609 (mitre.org) (nvd.nist.org) (cvedetails.com)
SecurityTracker: 1037460 - Red Hat Single Sign-On Keycloak Authentication Flow Error Lets Remote Users Hijack the Target User's Session
Eintrag
Erstellt: 19.12.2016Eintrag: 74% komplett
...