このウェブページのスクリーンショットから、以下の脆弱性情報に関する重要な情報を取得できます: 1. 脆弱性識別子:Bug 2301876 (CVE-2024-7318) 2. 脆弱性名称:keycloak-core: 1回限りのパスワード(OTP)の有効期限が設定時間を超過して保持される 3. 脆弱性情報:Keycloakにおいて、FreeOTPを使用している際、OTPトークンの周期を30秒(デフォルト値)に設定した場合、期限切れのOTPコードが依然として使用できるという脆弱性が確認されました。実際には、これらのトークンは期限切れ後30秒間有効であり、合計で1分間の有効期間を持ちます。これにより攻撃の窓が開き、悪意のある攻撃者がこの脆弱性を利用してシステムを不正に利用し、アカウントを窃取する可能性が高まります。 4. 脆弱性の種類:セキュリティ脆弱性 5. 脆弱性の重大度:低 6. 報告日:2024年7月31日 7. 修正バージョン:指定なし 8. 影響を受ける製品:指定なし 9. 影響を受けるハードウェア:すべて 10. 影響を受けるオペレーティングシステム:Linux 11. 優先度:低 12. ステータス:新規 13. 報告者:Patrick Del Bello 14. 修正日:2024年9月9日 15. 修正概要:デフォルトのOTPポリシー設定において、期限切れのOTPコードが依然として使用できていた問題を修正しました。FreeOTP使用時、OTPトークンの周期を30秒に設定した場合に、これらのトークンが期限切れ後30秒間有効(合計1分)となる問題を修正しました。 16. 影響を受ける製品:Red Hat Product Errata 17. 影響を受ける製品へのリンク:RHSA-2024:6502 および RHSA-2024:6503 これらの情報は、脆弱性の性質、影響範囲、および修正状況の理解に役立ちます。