Keycloak 账户服务中的 CSRF 漏洞
CSRF vulnerability in Keycloak Account Service
虽然 Keycloak 帐户服务中使用了 CSRF 令牌,但存在 CSRF 令牌固定漏洞。
为了防止 CSRF,使用了名为 KEYCLOAK_STATE_CHECKER 的 cookie(CSRF 防御方法:"Double submit cookie")。每个会话的 CSRF 令牌都必须是唯一的。但是,由于此 cookie 在登录时接受用户代理提供的值并且在注销时不清除 cookie,对于使用相同用户代理的用户,CSRF 令牌的值在会话中是相同的。
即使没有活动的受害者会话,攻击者也可以利用此漏洞从受害者的浏览器中窃取此 cookie。然后,攻击者可以使用该值来执行 CSRF 攻击。这种攻击的影响可能与攻击者接管 IDP 的管理员并利用使用此 IDP 服务托管的任何应用程序一样严重。
请求修复此问题here。
我的问题是:是否可以 solution/work-around 解决问题,直到提供实际修复?
该漏洞已在 Keycloak 3.3 版中修复。0.Final。所以,可以更新keycloak版本到最新,来克服这个漏洞。
虽然 Keycloak 帐户服务中使用了 CSRF 令牌,但存在 CSRF 令牌固定漏洞。
为了防止 CSRF,使用了名为 KEYCLOAK_STATE_CHECKER 的 cookie(CSRF 防御方法:"Double submit cookie")。每个会话的 CSRF 令牌都必须是唯一的。但是,由于此 cookie 在登录时接受用户代理提供的值并且在注销时不清除 cookie,对于使用相同用户代理的用户,CSRF 令牌的值在会话中是相同的。
即使没有活动的受害者会话,攻击者也可以利用此漏洞从受害者的浏览器中窃取此 cookie。然后,攻击者可以使用该值来执行 CSRF 攻击。这种攻击的影响可能与攻击者接管 IDP 的管理员并利用使用此 IDP 服务托管的任何应用程序一样严重。
请求修复此问题here。
我的问题是:是否可以 solution/work-around 解决问题,直到提供实际修复?
该漏洞已在 Keycloak 3.3 版中修复。0.Final。所以,可以更新keycloak版本到最新,来克服这个漏洞。