Bare.id Kunden sind nicht von der Keycloak Schwachstelle WID-SEC-2023-3028 betroffen

In den letzten Tagen wurde eine kritische Sicherheitslücke in der OpenSource-Software Keycloak bekannt [1]. Bare.ID setzt bekannterweise Keycloak ein.

Nach einer umfassenden Analyse des veröffentlichten Keycloak 23.0.1 Releases besteht nach unserer Einschätzung keine Möglichkeit Bare.ID Installationen über die Schwachstelle anzugreifen.

Unabhängig davon werden wir selbstverständlich zeitnah die entsprechenden Sicherheitsupdates im Zuge unserer Regelwartungen ausrollen.

[1] https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-3028