新しいRed Hat Single Sign-On 7.3.4パッケージがRed Hat Enterprise Linux 8で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重大度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat Single Sign-On 7.3は、Keycloakプロジェクトに基づいたスタンドアロンのサーバーで、Webアプリケーションとモバイルアプリケーションに認証と標準ベースのシングルサインオン機能を提供します。RHEL 8用Red Hat Single Sign-On 7.3.4のこのリリースはRed Hat Single Sign-On 7.3.3を置き換え、バグ修正および強化を含んでいます。バグ修正や強化の内容は、「参照」でリンクされているリリースノートにドキュメント化されています。セキュリティ修正プログラム：* keycloak：クロスレルムユーザーアクセス認証のバイパス（CVE-2019-14832）* keycloak：アダプタのエンドポイントが任意のURLを介して公開される（CVE-2019-14820）* jackson-databind：多態的型付けの問題により、攻撃者が細工されたJSONメッセージを介してサーバー上の任意のローカルファイルを読み取る可能性があります（CVE-2019-12814）* jackson-databind：デフォルトの型付けを誤って処理することにより、リモートコードの実行が引き起こされる（CVE-2019-14379）* jackson-databind：多態的型付けの問題により、攻撃者がサーバー上の任意のローカルファイルを読み取る可能性があります （CVE-2019-12086）* undertow：末尾のスラッシュがないディレクトリに対するリクエストにおける情報漏えい（CVE-2019-10184）影響、CVSSスコア、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。

検出

RHEL 8：Red Hat Single Sign-On 7.3.4（RHSA-2019:3046）

critical Nessus プラグイン ID 129865

バージョン 1.6

バージョン 1.5

バージョン 1.6 Apr 28, 2024, 3:17 AM Detection (updated detection logic) Plugin metadata Reference Plugin Feed: 202404280317
バージョン 1.5 Apr 18, 2024, 3:14 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:POC/RL:OF/RC:C") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:P/RL:O/RC:C") CVSSv2 score source (set to "CVE-2019-14379") Exploit attributes ("Exploit available" set to "True") Exploit attributes ("Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202404181514