RHEL 8: RHEL 8 用 Red Hat Single Sign-On 7.5.1 のセキュリティ更新 (重要度高) (RHSA-2022: 0152)

high Nessus プラグイン ID 156792

概要

リモートのRed Hatホストに1つ以上のセキュリティ更新プログラムがありません。

説明

リモート Redhat Enterprise Linux 8 ホストにインストールされているパッケージは、RHSA-2022: 0152 アドバイザリに記載されている複数の脆弱性の影響を受けます。

- resteasy: エラーメッセージが、エンドポイントクラスの情報を公開します (CVE-2021-20289)

-keycloak-server-spi-private: ECP SAML バインディングが認証フローをバイパスします (CVE-2021-3827)

- xml-security: XPath Transform の悪用により、情報漏洩が可能になります (CVE-2021-40690)

- Keycloak: 不適切な認証により、権限のないユーザーが他のユーザーを作成する可能性があります (CVE-2021-4133)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っています。

ソリューション

影響を受ける rh-sso7-keycloak および/または rh-sso7-keycloak-server パッケージを更新してください。

関連情報

https://cwe.mitre.org/data/definitions/200.html

https://cwe.mitre.org/data/definitions/209.html

https://cwe.mitre.org/data/definitions/287.html

https://cwe.mitre.org/data/definitions/863.html

https://access.redhat.com/security/cve/CVE-2021-3827

https://access.redhat.com/security/cve/CVE-2021-4133

https://access.redhat.com/security/cve/CVE-2021-20289

https://access.redhat.com/security/cve/CVE-2021-40690

https://access.redhat.com/errata/RHSA-2022:0152

https://bugzilla.redhat.com/1935927

https://bugzilla.redhat.com/2007512

https://bugzilla.redhat.com/2011190

https://bugzilla.redhat.com/2033602

プラグインの詳細

深刻度: High

ID: 156792

ファイル名: redhat-RHSA-2022-0152.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2022/1/18

更新日: 2022/2/3

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent

リスク情報

CVSS スコアのソース: CVE-2021-4133

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

Base Score: 6.5

Temporal Score: 4.8

ベクトル: AV:N/AC:L/Au:S/C:P/I:P/A:P

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3

リスクファクター: High

Base Score: 8.8

Temporal Score: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:rh-sso7-keycloak, p-cpe:/a:redhat:enterprise_linux:rh-sso7-keycloak-server

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/1/17

脆弱性公開日: 2021/3/26

参照情報

CVE: CVE-2021-3827, CVE-2021-4133, CVE-2021-20289, CVE-2021-40690

RHSA: 2022:0152

IAVA: 2021-A-0556

CWE: 200, 209, 287, 863