ГлавнаяБаза уязвимостей БДУ → BDU:2024-02260
6.6средняя

BDU:2024-02260 (CVE-2021-3827)

Уязвимость программного средства для управления идентификацией и доступом Keycloak, связанная с ошибками реализации процедуры аутентификации, позволяющая нарушителю обойти ограничения безопасности
Опубликовано: 2024-03-22
Описание

Уязвимость программного средства для управления идентификацией и доступом Keycloak связана с ошибками реализации процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8 based Middleware Containers)Keycloak (до 18.0.0)Red Hat Single Sign-On (7.5 for RHEL 7)Red Hat Single Sign-On (7.5 for RHEL 8)Red Hat A-MQ OnlineNexus Repository Manager (3.65.0-02)Red Hat Single Sign-On (7.5.1)
Способ устранения

Использование рекомендаций:
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-3827

Компенсирующие меры для Nexus:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
- ограничение доступа из внешних сетей (Интернет);
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Оценка CVSS
Балл6.6 — средняя опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2021-3827https://bugzilla.redhat.com/show_bug.cgi?id=2007512
Проверьте безопасность своего сайта и почты → Полная проверка домена