Keycloak: una nota sobre la nueva brecha de seguridad

hace 2 meses · Actualizado hace 2 meses

BSI ha publicado su información de seguridad actual para Keycloak. Puede obtener información sobre los sistemas y productos operativos afectados, así como los números CVE, aquí en news.de.

oficina federal para Seguridad En Tecnología de la Información (BSI) el 22 de enero de 2025, una nota de seguridad para Keycloak. Los sistemas operativos Linux y UNIX, así como el producto abierto Keycloak, se ven afectados por la brecha de seguridad.

Las últimas recomendaciones del fabricante con respecto a actualizaciones, correcciones y parches de seguridad para estas brechas de seguridad se pueden encontrar aquí: Red Hat Bugzilla - Error 2338993 (Al 22/01/2025). Las fuentes útiles en este artículo se enumeran a continuación.

Más información

Nota de seguridad para keycloak - Riesgo: medio
Error de capa de teclas: El punto débil son los paneles de seguridad.
Sistemas afectados por la seguridad keycloak a la vista
Recomendaciones generales para su comunicación con áreas débiles
Fuentes de actualizaciones, parches y correcciones
Historial de versiones de esta característica de seguridad

Nota de seguridad para keycloak - Riesgo: medio

Nivel de riesgo: 4 (medio)
Escala básica CVSS: 5,4
CVSS Versión actual: 5.0
Ataque remoto: Sí

El sistema común de puntuación de vulnerabilidades (CVSS) se utiliza para evaluar la gravedad de las vulnerabilidades en los sistemas informáticos. El estándar CVSS permite combinar diferentes medidas de seguridad o precisión en diferentes parámetros para mejorar las prioridades de los adversarios. Propiedades "una", "baja", "media", "alta" y "crítica" y "crítica" para la gravedad de un punto débil. Define la fase básica de un ataque (autenticación, complejidad, características, interacción del usuario) y sus consecuencias. Al mismo tiempo, hay un resultado temporal en cuanto a la situación de riesgo. Según el CVSS, la gravedad de la debilidad tratada aquí se califica como "moderada" con una puntuación inicial de 5,4.

Error de capa de teclas: El punto débil son los paneles de seguridad.

KEYCLOAK permite la autenticación integral y la gestión de acceso para aplicaciones y servicios modernos.

Un atacante remoto y aleatorio puede aprovechar las medidas de seguridad en el punto de interés.

La vulnerabilidad se propagó utilizando el sistema de referencia cvE (vulnerabilidades y exposiciones comunes) mediante el número de serie individual 2025-0604.

Sistemas afectados por la seguridad keycloak a la vista

Sistemas operativos
Linux, Unix

Venir
Código abierto de capa de claves <= 26.1.0 (CPE:/A:KEYCLOAK:KEYCLOAK)
Código abierto de capa de claves <= 26.1.0 (CPE:/A:KEYCLOAK:KEYCLOAK)

Recomendaciones generales para su comunicación con áreas débiles

Los usuarios de los sistemas afectados deben mantenerlos actualizados. Cuando toman conciencia de la seguridad, se anima a los fabricantes a tratarlos lo antes posible o trabajar en su desarrollo. Si hay nuevas actualizaciones de seguridad, instálelas inmediatamente.
Para fines informativos, consulte los recursos enumerados en la siguiente sección. Esta información adicional suele incluir la última versión del software correspondiente, así como la disponibilidad de parches de seguridad o información sobre funciones operativas.
Si tiene alguna pregunta o inquietud, comuníquese con su gerente responsable. Deberían comprobar periódicamente a los agentes de seguridad cuando Advertencia de seguridad Los fabricantes afectados proporcionan una nueva actualización de seguridad.

Fuentes de actualizaciones, parches y correcciones

En esta etapa tienen más contactos con información sobre informes de errores, soluciones de seguridad y empleados.

Sombrero rojo Bugzilla-Bug 2338993 del 22/01/2025 (22.01.2025)
Puedes encontrar más información en:

Aviso de seguridad de Github a partir del 22 de enero de 2025 (22.01.2025)
Puedes encontrar más información en:

Historial de versiones de esta característica de seguridad

Esta es la versión inicial de la información de seguridad actual de Keycloak. Este artículo se actualiza cuando se anuncian actualizaciones. Puede comprender los cambios realizados utilizando el historial de versiones a continuación.

22/01/2025 - Versión Inicial

Más noticias

Seguridad informática: Linux amenazado: ¡la laguna de seguridad informática en Red Hat Enterprise Linux (Ceph Storage) corre un gran riesgo! La alerta está recibiendo actualizaciones.

Kernel de Linux: advertencia de seguridad para muchas vulnerabilidades de TI

Seguridad: Windows Security Microsoft Azure CLI Security destaca Microsoft Azure CLI! Tiene advertencia de actualización

VMware Cloud Foundation: aviso de seguridad informática para una nueva vulnerabilidad

Seguridad informática: Android en riesgo: nuevo agujero de seguridad en Google Android

Webcit / Apple Dangerous: ¡el punto débil de la crítica! La alarma de seguridad se actualiza

Seguridad TI: UNIX y Windows están en riesgo - Declaración de seguridad TI sobre nueva vulnerabilidad en Drupal

Seguridad informática: Linux está en riesgo: ¡el agujero de seguridad informática en el kernel de Linux corre un gran riesgo! La alerta está recibiendo actualizaciones.

Calendario Escolar 2024-25 en Madrid

Microsoft Windows: Actualización para advertencia de seguridad de TI (riesgo: crítico)

Kernel de Linux: ¡Alerta de seguridad! Se han informado muchas vulnerabilidades de TI

Seguridad TI: Linux, MacOS X y UNIX amenazados - ¡Diferente seguridad TI en PostgreSQL con un gran riesgo! La alerta está recibiendo actualizaciones.

Seguridad TI: UNIX amenazado - Actualización de la información de seguridad TI para el kernel de Linux (Riesgo: medio)

Adobe Coldfusioned Enterfused: señal de seguridad para muchos hábitats débiles

Kernel de Linux (Bluetooth): la vulnerabilidad permite la denegación de servicio

Proyecto FRRouting FRRouting: Alerta de seguridad informática por nueva vulnerabilidad