Keycloakの複数の脆弱性情報(Moderate: CVE-2018-14655, CVE-2018-14658, Low: CVE-2018-14657)

2018.11.14

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

11/13/2018にKeycloakの複数の脆弱性情報(Moderate: CVE-2018-14655, CVE-2018-14658, Low: CVE-2018-14657)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

Priority

  • CVE-2018-14655

    Moderate

    • SuSE
    • Red Hat Customer Potal
      • CVSS v3 Base Score: 4.6
      • Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N
    • NVD
  • CVE-2018-14657

    Low

    • SuSE
    • Red Hat Customer Potal
      • CVSS v3 Base Score: 5.4
      • Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
    • NVD
  • CVE-2018-14658

    Moderate

    • SuSE
    • Red Hat Customer Potal
      • CVSS v3 Base Score: 6.1
      • Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
    • NVD

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14655
    • 認証URLでのXSSの可能性
    • 重要度 – Moderate
    • 対象バージョン:Keycloak 3.4.3.Final, 4.0.0.Beta2, 4.3.0.Final
    • Keycloakに脆弱性が見つかりました。’response_mode=form_post’を用いた時、任意のJavascriptコードが、認証URLでの’state’-パラメータからインジェクションできる可能性が有ります。これによりXSS攻撃を用いてログインに成功されてしまう可能性が有ります。
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14657
    • ブルートフォースアタックの脆弱性
    • 重要度 – Low
    • 対象バージョン:Keycloak 4.2.1.Final, 4.3.0.Final
    • TOPTが有効になっている場合、ブルートフォースアタック検知アルゴリズムの不正な実装方法により、完全な保護が提供されていないという問題があります。
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14658
    • オープンリダイレクトの脆弱性
    • 重要度 – Moderate
    • 対象バージョン:Keycloak 3.2.1.Final
    • ログインとログアウトでのリダイレクトURLが、URL検証を行う前にorg.keycloak.protocol.oidc.utils.RedirectUtilsで正規化されていませんでした。これにより、オープンリダイレクトの脆弱性が存在します。

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

セキュリティ系連載案内

タイトルとURLをコピーしました