1.9. 26.0.8 的更新

此发行版本包括几个已解决的问题和 CVE 修复。

CVE-2024-11734 Unrestricted admin 使用系统和环境变量
安全漏洞已被识别，如果设置了某些配置，可以使管理用户访问敏感数据，可能会发现服务器环境的内部详情。
CVE-2024-11736 Denial of Service in Red Hat build of Keycloak Server via Security Headers
红帽构建的 Keycloak 中已识别了潜在的拒绝服务(DoS)漏洞。具有修改域设置的管理用户可能会利用此问题导致服务中断。如果触发，可能会阻止用户访问依赖 Keycloak 的应用程序，或使用受影响域中的管理控制台。

要优先选择更加安全的服务器运行时，避免意外公开系统变量，您现在被强制在启动服务器时使用 spi-admin-allowed-system-variables 配置选项来指定您要公开的系统变量。

在以后的发行版本中，这个功能将被删除，而是防止在域配置中使用系统变量。

返回顶部