从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:RHSA-2024:6944 2. 发布日期:2024-09-09 3. 类型/严重性:安全更新,影响程度为“中等” 4. 受影响的产品:Red Hat build of Keycloak 22.0.12 和 Red Hat build of Keycloak 22.0.12 Operator,运行在 OpenShift Container Platform 上。 5. 描述: - Red Hat build of Keycloak 是一个集成的登录解决方案,作为 Red Hat JBoss Middleware for OpenShift 容器化图像提供。 - 提供了一个认证服务器,可以用于集中登录、注销和注册。 - 可以管理 web 应用程序、移动应用程序和 RESTful web 服务的用户账户。 - Red Hat build of Keycloak Operator 简化了 Keycloak 22.0.12 集群的部署和管理。 - 该补丁发布的新图像适用于 OpenShift Container Platform 云服务(PaaS)中的 on-premise 或私有云部署。 6. 安全修复: - 潜在的暴力破解保护绕过(CVE-2024-4629) - session 固定在 elytron saml 调适器(CVE-2024-7341) - 通过 Keycloak 管理控制台泄露配置的 LDAP 绑定凭据(CVE-2024-5967) 7. 解决方案: - 更新前备份现有安装,包括所有应用程序、配置文件、数据库和数据库设置等。 8. 受影响的产品: - Red Hat build of Keycloak 22 x86_64 9. 修复: - BZ - 2276761 - CVE-2024-4629 keycloak: potential bypass of brute force protection - BZ - 2292200 - CVE-2024-5967 keycloak: Leak of configured LDAP bind credentials through the Keycloak admin console - BZ - 2302064 - CVE-2024-7341 wildfly-elytron: org.keycloak/keycloak-services: session fixation in elytron saml adapters 10. CVEs: - CVE-2024-4629 - CVE-2024-5967 - CVE-2024-7341 11. 参考链接: - https://access.redhat.com/security/updates/classification/#moderate 这些信息提供了关于漏洞的详细描述、受影响的产品、安全修复和解决方案等关键细节。