Security

OpenTofu kann versehentlich sensible Variablen in Modul-Quellen und Backend-Konfigurationen preisgeben, wenn statische Auswertung aktiviert ist, obwohl dies blockiert werden sollte.

OpenTofu, ein Infrastructure-as-Code-Tool, ist anfällig für Denial-of-Service-Angriffe während der Modulinstallation, wenn bösartig gestaltete TLS-Zertifikate oder Archive von nicht vertrauenswürdigen Quellen verwendet werden, was zu hoher CPU-Last oder Speicherverbrauch führen kann.

OpenTofu prüft TLS-Zertifikate nicht korrekt, wenn ausgeschlossene Subdomains und Wildcard-Zertifikate kombiniert werden, wodurch Angreifer mit gültigen aber widersprüchlichen Zertifikaten Verbindungen zu geschützten Servern herstellen könnten.

OpenTofu, ein Infrastructure-as-Code-Tool, ist anfällig für Denial-of-Service-Angriffe durch bösartig erstellte ZIP-Archive beim Installieren von Modulen oder Providern, was zu hoher CPU-Auslastung führt.

OpenTofu kann beim Installieren von Modulen aus nicht vertrauenswürdigen Quellen durch bösartige TLS-Zertifikate oder Tar-Archive zum Absturz gebracht werden, was zu unbegrenztem Speicherverbrauch oder hoher CPU-Last führt.

OpenTofu folgt bei der Provider-Installation symbolischen Links im .terraform/providers Verzeichnis und kann dadurch Dateien in beliebige Verzeichnisse schreiben, wenn ein Angreifer das Arbeitsverzeichnis kontrolliert.

OpenTofu kann bei der Installation von Modulen oder Providern von bösartigen Servern in eine Endlosschleife geraten, wodurch der Installationsprozess blockiert und Systemressourcen erschöpft werden.

Keycloak hat eine Schwachstelle im Brute-Force-Schutz, bei der Angreifer durch parallele Login-Versuche mehr Passwort-Rateversuche durchführen können als eigentlich erlaubt, wodurch Benutzerkonten leichter kompromittiert werden können.

In Keycloak können Benutzer mit E-Mail-ähnlichen Benutzernamen durch andere Nutzer ausgesperrt werden, wenn die Selbstregistrierung aktiviert ist.

Keycloak erlaubt die Verwendung von E-Mail-Adressen als Benutzernamen, ohne zu prüfen ob bereits ein Konto mit dieser E-Mail existiert, was dazu führen kann dass Benutzer sich nicht mehr anmelden oder ihr Passwort zurücksetzen können.

Eine Schwachstelle in Keycloak ermöglicht es Administratoren, LDAP-Verbindungseinstellungen zu ändern und dabei die konfigurierten Anmeldedaten an einen von ihnen kontrollierten Server zu senden, wodurch Domain-Zugangsdaten preisgegeben werden.

Keycloak's SAML-Adapter ändern bei der Anmeldung die Session-ID nicht ordnungsgemäß, wodurch Angreifer bestehende Sessions übernehmen und sich als legitime Benutzer ausgeben können.

Eine Fehlkonfiguration in Keycloak ermöglicht es Angreifern, Benutzer auf beliebige Webseiten umzuleiten, wenn localhost-URLs als gültige Weiterleitungsadressen konfiguriert sind. Dadurch können Autorisierungscodes gestohlen und Benutzersitzungen übernommen werden.

Eine Schwachstelle in Keycloaks SAML-Signaturprüfung ermöglicht es Angreifern, gefälschte Authentifizierungsantworten zu erstellen, die die Sicherheitsprüfung umgehen und zu Rechteausweitung oder Identitätsmissbrauch führen können.

In Keycloak bleibt ein abgelaufener Einmalpasscode bei Verwendung von FreeOTP doppelt so lange gültig wie vorgesehen, wodurch Angreifer ein größeres Zeitfenster haben, um Konten zu kompromittieren.

Keycloak speichert versehentlich sensible Daten wie Passwörter während des Build-Prozesses im Bytecode, wodurch diese zur Laufzeit zugänglich werden und vertrauliche Informationen preisgegeben werden können.

Eine Schwachstelle in Keycloak ermöglicht es Angreifern, den Server durch komplexe reguläre Ausdrücke zum Absturz zu bringen, wenn nicht vertrauenswürdige Daten verarbeitet werden.

Eine Schwachstelle in Keycloak ermöglicht es privilegierten Benutzern, sensible Informationen aus Vault-Dateien außerhalb des vorgesehenen Kontexts zu lesen. Angreifer benötigen bereits hohe Zugriffsrechte auf den Keycloak-Server.

Keycloak Version 26 und früher können durch manipulierte Proxy-Header zu einem Denial-of-Service-Angriff führen, bei dem das System durch aufwändige DNS-Auflösungen blockiert wird.

Eine Schwachstelle in Keycloak ermöglicht es Angreifern im lokalen Netzwerk, sich als beliebige Benutzer oder Clients auszugeben, wenn mTLS-Authentifizierung über einen Reverse Proxy ohne Pass-Through-TLS-Terminierung verwendet wird.

Eine Schwachstelle in Keycloak ermöglicht es Administratoren mit Berechtigung zur Änderung von Realm-Einstellungen, den Dienst durch das Einfügen von Zeilenwechseln in Sicherheitsheader zum Absturz zu bringen, wodurch Benutzer nicht mehr auf Anwendungen zugreifen können.

Keycloak-Administratoren können durch spezielle Platzhalter in konfigurierbaren URLs auf vertrauliche Server-Umgebungsvariablen und Systemeigenschaften zugreifen, wodurch sensible Informationen preisgegeben werden können.

In Keycloak funktioniert eine Konfigurationsoption für verschlüsselte Kommunikation zwischen Servern nicht richtig, wodurch die Datenübertragung unverschlüsselt erfolgt statt wie beabsichtigt gesichert.

Keycloak überprüft nach einem Passwort-Reset nicht ordnungsgemäß den Status von Active Directory-Konten, wodurch sich Benutzer mit abgelaufenen oder deaktivierten Konten möglicherweise trotzdem anmelden können.

Keycloak weist Benutzer fälschlicherweise Organisationen zu, basierend nur auf E-Mail- oder Benutzernamen-Mustern. Dies kann Angreifer dazu verleiten, sich als Organisationsmitglieder auszugeben, wenn die Selbstregistrierung aktiviert ist.

Keycloak überspringt fälschlicherweise die Zertifikatsüberprüfung, wenn eine bestimmte Verifikationsrichtlinie auf 'ALL' gesetzt wird, wodurch unsichere Verbindungen ermöglicht werden können.

Eine Schwachstelle in Keycloak ermöglicht es Benutzern, erforderliche Sicherheitsmaßnahmen wie die Einrichtung der Zwei-Faktor-Authentifizierung zu umgehen.

In Keycloak können Angreifer bei der ersten Anmeldung über einen Identity Provider ihre E-Mail-Adresse auf die eines Opfers ändern, wodurch eine Bestätigungs-E-Mail an das Opfer gesendet wird, die bei Klick Zugang zum Opfer-Konto gewährt.

Eine Schwachstelle in Keycloak ermöglicht es Administratoren mit eingeschränkten Rechten, sich selbst höhere Berechtigungen zu verschaffen und dadurch vollen Zugriff auf Systemkonfiguration und Nutzerdaten zu erlangen.

Keycloak-Benutzer können durch spezielle Zeichen bei der E-Mail-Registrierung unerwünschte E-Mails über den Server versenden, was als Ausgangspunkt für weitere Angriffe dienen könnte.

Eine Schwachstelle in Keycloaks Benutzerkonsole ermöglicht es Angreifern, gefälschte Fehlermeldungen über URL-Parameter einzuschleusen, die dann in der vertrauenswürdigen Benutzeroberfläche angezeigt werden und für Phishing-Angriffe missbraucht werden können.

Eine Schwachstelle in Keycloak ermöglicht es Angreifern, schädlichen Code in Realm-Import-Dokumente einzuschleusen, indem sie die Platzhalter-Ersetzungsfunktion ausnutzen. Dies kann zu unerwünschten Auswirkungen in der Keycloak-Umgebung führen.

Keycloak-Server können durch wiederholte TLS-Verbindungsanfragen von Angreifern überlastet werden, da eine Java-Standardeinstellung schädliche Neuverhandlungen erlaubt. Dies kann den Service zum Absturz bringen, ohne dass sich Angreifer authentifizieren müssen.

Eine Schwachstelle in Keycloak ermöglicht es Angreifern, über manipulierte Pfade den Admin-Bereich zu erreichen, obwohl dieser durch einen Proxy geschützt sein sollte.

Keycloak-Server bindet im Debug-Modus den Debug-Port an alle Netzwerkschnittstellen, wodurch Angreifer im lokalen Netzwerk Remote-Code-Execution erreichen können.

Eine Schwachstelle in Keycloaks LDAP-Benutzeranbindung ermöglicht es authentifizierten Administratoren, durch bösartige LDAP-Serverkonfigurationen unsichere Java-Objektdeserialisierung auszulösen, was zu Codeausführung führen kann.

Eine Sicherheitslücke in Keycloak ermöglicht es Angreifern, sich als beliebige Benutzer auszugeben, indem sie manipulierte SAML-Nachrichten mit verschlüsselten Behauptungen senden, was zu unbefugtem Zugriff und möglicher Dateneinsicht führt.

Eine Schwachstelle in k3s führt dazu, dass Cluster-Verschlüsselungsdaten mit einem schwachen Schlüssel gesichert werden, wenn beim Erstellen kein Token angegeben wird, wodurch Angreifer mit Zugang zur Datenbank sensible Cluster-Schlüssel entschlüsseln können.

Eine Schwachstelle in K3s ermöglicht es Angreifern, ohne Authentifizierung über Port 6443 das TLS-Zertifikat so stark aufzublähen, dass neue Verbindungen fehlschlagen und der Dienst nicht mehr erreichbar wird.

Eine Schwachstelle in K3s ermöglicht es Angreifern, durch manipulierte Zip-Archive bei der Wiederherstellung von etcd-Snapshots beliebige Dateien auf dem System zu überschreiben.

Eine Schwachstelle in Helm 3.0.0-3.1.2 ermöglicht es bösartigen Chart-Autoren, unbemerkt Cluster-Informationen abzurufen, obwohl der 'helm template' Befehl eigentlich keine Verbindung zum Cluster herstellen sollte.

Eine Schwachstelle in Helms zugrundeliegender Go-Kryptografie-Bibliothek kann bei 32-Bit-Systemen durch manipulierte X.509-Zertifikate einen Absturz verursachen, was zu Dienstausfällen führt.

Eine Schwachstelle in Helm 3.0.0-3.2.3 ermöglicht es bösartigen Plugin-Autoren, durch manipulierte Archive Dateien außerhalb des vorgesehenen Verzeichnisses zu überschreiben und dadurch Code auszuführen oder sensible Daten zu kompromittieren.

Eine Schwachstelle in Helm ermöglicht es Angreifern, schädliche Inhalte über das unzureichend validierte alias-Feld in Chart.yaml-Dateien einzuschleusen.

Helm-Repositories können doppelte Chart-Einträge enthalten, wobei der letzte verwendet wird, was Angreifern mit Schreibzugriff auf die Index-Datei ermöglicht, schädliche Charts einzuschleusen.

Eine Schwachstelle in Helm ermöglicht es bösartigen Plugin-Autoren, unsichere Zeichen in Plugin-Namen zu verwenden, wodurch sie andere Plugins imitieren oder die Hilfe-Ausgabe manipulieren können.

Eine Schwachstelle in Helm ermöglicht es Angreifern mit Schreibzugriff auf Plugin-Repositories oder bei Man-in-the-Middle-Angriffen, schädlichen Code auf dem lokalen System auszuführen, indem sie doppelte Plugin-Einträge ausnutzen.

Helm, ein Kubernetes-Paketmanager, sanitisiert Eingabedaten aus Chart-Versionen, Repository-Dateien und Plugin-Dateien nicht ordnungsgemäß, wodurch Angreifer schädliche Zeichen einschleusen können, die Terminalausgaben manipulieren oder verstecken.

Helm, ein Kubernetes-Paketmanager, leitete fälschlicherweise Benutzername und Passwort von Repository-Anmeldedaten an andere Domains weiter, wenn Chart-Archive von verschiedenen Servern abgerufen wurden.

Eine Schwachstelle in Helms strvals-Paket ermöglicht es Angreifern, durch speziell gestaltete Eingaben einen Speicher-Überlauf zu verursachen, der die Anwendung zum Absturz bringt und nicht abgefangen werden kann.