关键信息 1. 漏洞描述: - 名称: CVE-2024-4629 - 公开日期: 2024年9月4日 - 最近修改日期: 2024年9月3日 - 严重性: 低 - 影响组件: org.keycloak-keycloak-parent 2. 漏洞影响: - 描述: 该漏洞存在于Keycloak中,允许攻击者通过利用登录尝试的时机来绕过暴力破解保护。通过同时发起多个登录请求,攻击者可以在系统锁定他们之前超过失败尝试的限制。 - 影响: 这个漏洞允许攻击者在受影响的系统上尝试更多的密码猜测,从而可能威胁到账户安全。 3. 缓解措施: - 当前可用缓解措施: 不存在或不符合Red Hat产品安全标准。 - 建议: 未提供具体的缓解措施。 4. 相关链接: - Bugzilla: Bugzilla 2276761 - CWE: CWE-837 - FAQ: 关于CVE-2024-4629的常见问题解答 5. 受影响的包和Red Hat安全补丁: - 受影响的包: Red Hat Build of Keycloak, Red Hat JBoss Enterprise Application Platform 8, Red Hat Single Sign-On 7 - 状态: 受影响 6. CVSS评分: - CVSS v3 Base Score: 6.5 - 攻击向量: 网络 - 攻击复杂性: 低 - 权限要求: 无 - 用户交互: 无 - 影响: 机密性、完整性、可用性 7. 常见问题解答: - 为什么Red Hat的CVSS v3评分与其他供应商不同? - 我的产品被列为“正在调查”或“受影响”,Red Hat何时会发布修复? - 如果我的产品被列为“无法修复”,我该怎么办? - 什么是缓解措施? - 我有Red Hat产品,但它不在上述列表中,它受影响吗? - 为什么我的安全扫描器报告我的产品受到此漏洞的影响,尽管我的产品版本已修复或不受影响? 8. 免责声明: - 该页面由系统自动生成,未进行错误或遗漏的检查。 - 有关澄清或更正,请联系Red Hat产品安全团队。 相关链接 Red Hat Product Security Red Hat Blog Red Hat Summit