检测

RHEL 7 : 单点登录 (RHSA-2017:0873)

high Nessus 插件 ID 117314

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

Red Hat Single Sign-On 7.1 现在可用于 Red Hat Enterprise Linux 7。Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其针对每个漏洞给出了详细的严重性等级。Red Hat Single Sign-On 是基于 Keycloak 项目的独立服务器,其为 Web 和移动应用程序提供基于身份验证和标准的单点登录功能。此 Red Hat Single Sign-On 7.1 版本可替换 Red Hat Single Sign-On 7.0,并且包括一些缺陷修复和增强功能。请参阅“参考”部分链接的版本说明以获取更多的相关信息。安全修复:* 当处理发送到 REST 服务器的服务帐户用户删除请求时,发现 keycloak 没有正确检查权限。具有服务帐户身份验证的攻击者可利用此缺陷以绕过正常权限以及在单独领域中删除用户。(CVE-2016-8629) * 已发现 JBoss EAP 7 标头缓存无效。攻击者可利用此缺陷造成拒绝服务攻击。(CVE-2016-9589) * 发现 keycloak 实施 JWS 令牌的 HMAC 认证时使用在非持续时间内运行的方法,可能使应用程序易受到时序攻击。(CVE-2017-2585) Red Hat 在此感谢 Gabriel Lavoie (Halogen Software) 报告 CVE-2016-9589 以及 Richard Kettelerij (Mindloops) 报告 CVE-2017-2585。

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?1825fcce

https://access.redhat.com/errata/RHSA-2017:0873

https://access.redhat.com/security/cve/cve-2016-8629

https://access.redhat.com/security/cve/cve-2016-9589

https://access.redhat.com/security/cve/cve-2017-2585

插件详情

严重性: High

ID: 117314

文件名: redhat-RHSA-2017-0873.nasl

版本: 1.5

类型: local

代理: unix

发布时间: 2018/9/6

最近更新时间: 2019/10/24

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:P

CVSS v3

风险因素: High

基本分数: 7.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:rh-sso7-twitter4j, p-cpe:/a:redhat:enterprise_linux:rh-sso7, p-cpe:/a:redhat:enterprise_linux:rh-sso7-freemarker, p-cpe:/a:redhat:enterprise_linux:rh-sso7-javapackages-tools, p-cpe:/a:redhat:enterprise_linux:rh-sso7-keycloak, p-cpe:/a:redhat:enterprise_linux:rh-sso7-keycloak-server, p-cpe:/a:redhat:enterprise_linux:rh-sso7-libunix-dbus-java, p-cpe:/a:redhat:enterprise_linux:rh-sso7-twitter4j-core, p-cpe:/a:redhat:enterprise_linux:rh-sso7-zxing, p-cpe:/a:redhat:enterprise_linux:rh-sso7-zxing-core, p-cpe:/a:redhat:enterprise_linux:rh-sso7-zxing-javase, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:rh-sso7-libunix-dbus-java-debuginfo, p-cpe:/a:redhat:enterprise_linux:rh-sso7-libunix-dbus-java-devel, p-cpe:/a:redhat:enterprise_linux:rh-sso7-liquibase, p-cpe:/a:redhat:enterprise_linux:rh-sso7-liquibase-core, p-cpe:/a:redhat:enterprise_linux:rh-sso7-python-javapackages, p-cpe:/a:redhat:enterprise_linux:rh-sso7-runtime

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

补丁发布日期: 2017/4/4

漏洞发布日期: 2018/3/12

参考资料信息

CVE: CVE-2016-8629, CVE-2016-9589, CVE-2017-2585

RHSA: 2017:0873