新しいRed Hat Single Sign-On 7.3.5パッケージがRed Hat Enterprise Linux 7で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重大度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat Single Sign-On 7.3は、Keycloakプロジェクトに基づいたスタンドアロンのサーバーで、Webアプリケーションとモバイルアプリケーションに認証と標準ベースのシングルサインオン機能を提供します。RHEL 7用Red Hat Single Sign-On 7.3.5のこのリリースはRed Hat Single Sign-On 7.3.4を置き換え、バグ修正と強化を含んでいます。バグ修正や強化の内容は、「参照」でリンクされているリリースノートにドキュメント化されています。セキュリティ修正プログラム：*keycloak：サービスアカウントのパスワードのリセットフローでplaceholder.orgドメインが使われなくなる（CVE-2019-14837）* undertow：HTTP/2：PINGフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9512）* undertow：HTTP/2：HEADERSフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9514）* undertow：HTTP/2：SETTINGSフレームを使用したフラッドによる無制限のメモリ増加（CVE-2019-9515）* wildfly-core: デフォルトで「監視者」、「監査者」、「実装者」ユーザーの不適切な権限（CVE-2019-14838）* wildfly：wildfly-security-manager：セキュリティマネージャの認証バイパス（CVE-2019-14843）影響、CVSSスコア、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。

検出

RHEL 7：Red Hat Single Sign-On 7.3.5（RHSA-2019:4041）（Ping Flood）（Reset Flood）（Settings Flood）

critical Nessus プラグイン ID 131528

バージョン 1.6

バージョン 1.5

バージョン 1.6 Apr 8, 2024, 2:16 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:POC/RL:OF/RC:C") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:P/RL:O/RC:C") Exploit attributes ("Exploit available" set to "True") Exploit attributes ("Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202404081416
バージョン 1.5 Dec 6, 2022, 2:54 AM Reference Plugin Feed: 202212060254