概要
uds-identity-config は、UDS Core の Identity デプロイメントで使用される Keycloak の設定イメージ(レルム・プラグイン・テーマ・トラストストア・JAR)をビルドするコンポーネントです。
バージョン 0.11.0〜0.26.0 において、client-kubernetes-secret Keycloak クライアント認証子に論理エラーがあります。具体的には、クライアントから送信された client_secret が比較処理の前にマウントされた Kubernetes シークレットで上書きされるため、どんな client_secret 値を送っても認証が成功してしまいます。
Keycloak のトークンエンドポイントへ到達可能な攻撃者が client_id を知るだけで、有効な OAuth2 トークンをその client_id のサービスアカウントスコープで取得できます。特に uds-operator クライアントのトークンを取得した場合、他のクライアントの登録・変更が可能になります。
CVSSベクトル
| 項目 | 値 |
|---|---|
| スコア | 10.0(Critical) |
| 攻撃経路(AV) | ネットワーク(N) |
| 攻撃複雑度(AC) | 低(L) |
| 特権要件(PR) | なし(N) |
| ユーザー操作(UI) | 不要(N) |
| スコープ(S) | 変更あり(C) |
| 機密性影響(C) | 高(H) |
| 完全性影響(I) | 高(H) |
| 可用性影響(A) | 高(H) |
影響を受けるソフトウェア
| 製品 | バージョン |
|---|---|
| uds-identity-config | 0.11.0〜0.26.0 |
修正バージョンと回避策
修正バージョン: uds-identity-config 0.26.1 以降へアップグレードしてください。
回避策: 0.26.1 へのアップグレードが最善策です。暫定対処としてトークンエンドポイントへのネットワークアクセスをホワイトリスト制御することで攻撃面を縮小できますが、根本的な解決にはなりません。
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。