[keycloak-user] realm JSON download without authorization check

Neujahr, Jana Jana.Neujahr at gisa.de
Fri Jun 22 09:00:09 EDT 2018


Dear keycloak users,

we found a little security gap which we do not know how to fix:

When you type and open the URL https://<domain>/auth/realms/<realmname<https://%3cdomain%3e/auth/realms/%3crealmname>>, then a download of the keycloak JSON starts without checking for authorization! The JSON contains the realm name, public key, account-service and the parameter tokens-not-before.



How can we prohibid this URL/JSON for others than a specific role?



Thank you in advance for your help.



Kind regards

Jana


Treffen Sie GISA auf folgenden Veranstaltungen! 
15.06.2018         WEBINAR: GISA 365 – Wie sieht Ihr Weg in die Cloud aus? 
19.06.2018         Energieforen: Fachtag SAP HANA, Leipzig 
19.-20.06.2018   PraxisForum Digitale Prozesse - GoBD & Püfungen, Leipzig 
23.-24.10.2018   metering days 2018, Fulda 



Aufsichtsratsvorsitzender: Norbert Rotter
Geschäftsführung: Michael Krüger
Sitz der Gesellschaft: Halle/Saale
Registergericht: Amtsgericht Stendal | Handelsregister-Nr. HRB 208414
UST-ID-Nr. DE 158253683

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Empfänger sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail oder des Inhalts dieser Mail sind nicht gestattet. Diese Kommunikation per E-Mail ist nicht gegen den Zugriff durch Dritte geschützt. Die GISA GmbH haftet ausdrücklich nicht für den Inhalt und die Vollständigkeit von E-Mails und den gegebenenfalls daraus entstehenden Schaden. Sollte trotz der bestehenden Viren-Schutzprogramme durch diese E-Mail ein Virus in Ihr System gelangen, so haftet die GISA GmbH - soweit gesetzlich zulässig - nicht für die hieraus entstehenden Schäden.



 



More information about the keycloak-user mailing list