RHEL 7 : 单点登录 (RHSA-2017:0873)
medium Nessus 插件 ID 117314
语言:
简介
远程 Red Hat 主机缺少一个或多个安全更新。描述
Red Hat Single Sign-On 7.1 现在可用于 Red Hat Enterprise Linux 7。Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其针对每个漏洞给出了详细的严重性等级。Red Hat Single Sign-On 是基于 Keycloak 项目的独立服务器,其为 Web 和移动应用程序提供基于身份验证和标准的单点登录功能。此 Red Hat Single Sign-On 7.1 版本可替换 Red Hat Single Sign-On 7.0,并且包括一些缺陷修复和增强功能。请参阅“参考”部分链接的版本说明以获取更多的相关信息。安全修复:* 当处理发送到 REST 服务器的服务帐户用户删除请求时,发现 keycloak 没有正确检查权限。具有服务帐户身份验证的攻击者可利用此缺陷以绕过正常权限以及在单独领域中删除用户。(CVE-2016-8629) * 已发现 JBoss EAP 7 标头缓存无效。攻击者可利用此缺陷造成拒绝服务攻击。(CVE-2016-9589) * 发现 keycloak 实施 JWS 令牌的 HMAC 认证时使用在非持续时间内运行的方法,可能使应用程序易受到时序攻击。(CVE-2017-2585) Red Hat 在此感谢 Gabriel Lavoie (Halogen Software) 报告 CVE-2016-9589 以及 Richard Kettelerij (Mindloops) 报告 CVE-2017-2585。解决方案
更新受影响的程序包。另见
http://www.nessus.org/u?56c16fe8
http://www.nessus.org/u?b0187894
https://access.redhat.com/errata/RHSA-2017:0873
https://access.redhat.com/security/updates/classification/#moderate
https://bugzilla.redhat.com/show_bug.cgi?id=1388988
https://bugzilla.redhat.com/show_bug.cgi?id=1404782
插件详情
严重性: Medium
ID: 117314
文件名: redhat-RHSA-2017-0873.nasl
版本: 1.7
类型: local
代理: unix
发布时间: 2018/9/6
最近更新时间: 2024/11/4
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
Vendor
Vendor Severity: Moderate
CVSS v2
风险因素: Medium
基本分数: 5.5
时间分数: 4.1
矢量: CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:P
CVSS 分数来源: CVE-2016-8629
CVSS v3
风险因素: Medium
基本分数: 6.5
时间分数: 5.7
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:rh-sso7-zxing, p-cpe:/a:redhat:enterprise_linux:rh-sso7-javapackages-tools, p-cpe:/a:redhat:enterprise_linux:rh-sso7-twitter4j-core, p-cpe:/a:redhat:enterprise_linux:rh-sso7-keycloak-server, p-cpe:/a:redhat:enterprise_linux:rh-sso7-python-javapackages, p-cpe:/a:redhat:enterprise_linux:rh-sso7-liquibase-core, p-cpe:/a:redhat:enterprise_linux:rh-sso7-zxing-javase, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:rh-sso7-liquibase, p-cpe:/a:redhat:enterprise_linux:rh-sso7-zxing-core, p-cpe:/a:redhat:enterprise_linux:rh-sso7-twitter4j, p-cpe:/a:redhat:enterprise_linux:rh-sso7-libunix-dbus-java, p-cpe:/a:redhat:enterprise_linux:rh-sso7, p-cpe:/a:redhat:enterprise_linux:rh-sso7-keycloak, p-cpe:/a:redhat:enterprise_linux:rh-sso7-libunix-dbus-java-devel, p-cpe:/a:redhat:enterprise_linux:rh-sso7-freemarker, p-cpe:/a:redhat:enterprise_linux:rh-sso7-runtime
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2017/4/4
漏洞发布日期: 2018/3/12