Kurzinfo CB-K18/0068

2 Risiko: niedrig
Information zu Schwachstellen und Sicherheitslücken
Titel: Keycloak Installationswerkzeug: Zwei Schwachstellen ermöglichen die Manipulation von Dateien und das Ausspähen von Informationen
Datum: 12.01.2018
Software: Keycloak Installationswerkzeug (keycloak-httpd-client-install) < 0.8
Plattform: Red Hat Fedora 26, Red Hat Fedora 27
Auswirkung: Manipulation von Dateien
Remoteangriff: Nein
Risiko: niedrig
CVE Liste: CVE-2017-15111, CVE-2017-15112
Bezug: Fedora Security Updates FEDORA-2018-66b885ae3c (Fedora 26, keycloak-httpd-client-install-0.8-1.fc26)
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

Das Projekt 'keycloak-httpd-client-install' beinhaltet eine Bibliothek und eine ausführbare Datei, die die Installation und Verwendung eines föderierten Authentifiziereungsmechanismus für Apache HTTPD in Verbindung mit Keycloak ermöglichen.

Zwei Schwachstellen im Keycloak Installationswerkzeug keycloak-httpd-client-install ermöglichen einem lokalen, nicht authentisierten Angreifer das Ausspähen von Informationen und die Manipulation von Dateien. Die Schwachstellen werden vom Hersteller mit Version 0.8 der Software behoben und als unkritisch eingestuft, da eine aktive Ausnutzung die fahrlässige Verwendung von Kommandozeiloenoptionen voraussetzt (CVE-2017-15112) oder Entwicklungssysteme betrifft (CVE-2017-15111). Für Fedora 26 und 27 stehen Sicherheitsupdates auf Version 0.8 im Status 'testing' bereit.

  1. Schwachstelle CVE-2017-15111 (NVD)

  2. Schwachstelle CVE-2017-15112 (NVD)

  3. Fedora Security Update FEDORA-2018-2299cfb708 (Fedora 27, keycloak-httpd-client-install-0.8-1.fc27)

  4. Fedora Security Updates FEDORA-2018-66b885ae3c (Fedora 26, keycloak-httpd-client-install-0.8-1.fc26)

  5. GitHub Commit zu CVE-2017-15111: unsafe /tmp log file in --log-file option in keycloak_cli.py

  6. GitHub Commit zu CVE-2017-15112: unsafe use of -p/--admin-password on command line

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.