کشف آسیب‌پذیری در Red Hat

کمیته رکن چهارم – محققان امنیت سایبری آسیب‌پذیری‌هایی را در Red Hat کشف کرده‌اند که ممکن است مورد بهره‌برداری هکرها قرار گرفته باشد.

آسیب‌پذیری با شناسه CVE-2023-6291 و شدت بالا (۷٫۱) در Red Hat به‌ دلیل وجود نقص در منطق اعتبارسنجی redirect_uri در Keycloak، امکان دور زدن هاست‌های (hosts) مجاز را برای مهاجم فراهم می‌کند. با بهره‌برداری از این آسیب‌پذیری و سرقت توکن دسترسی، مهاجم می‌تواند هویت سایر کاربران را جعل کند.

Red Hat Single Sign-On 7.6 یک سرور مستقل بر اساس پروژه Keycloak است که قابلیت‌های تأیید هویت و استانداردهای single sign-on برای برنامه‌های کاربردی وب و تلفن همراه ارائه می‌دهد.

این آسیب‌پذیری محصولاتRed Hat شاملRed Hat build of Keycloak نسخه‌های ۲۲ و ۲۲٫۰٫۷، Red Hat Single Sign-On نسخه ۷٫۶ برای RHEL نسخه‌های ۷، ۸ و ۹، RHEL-8 based Middleware Containers و Single Sign-On نسخه ۷٫۶٫۶ را تحت تأثیر قرار می‌دهد.

توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Red Hat build of Keycloak،Red Hat Single Sign-On و RHEL-8 based Middleware Containers به نسخه‌های وصله ‌شده اقدام نمایند.

منبع : افتانا