CVE-2025-11419: Allocation of Resources Without Limits or Throttling

严重性：高 类型：漏洞

CVE-2025-11419

在Keycloak中发现一个缺陷。此漏洞允许未经身份验证的远程攻击者通过重复发起TLS 1.2客户端重协商请求来耗尽服务器CPU资源，导致服务不可用，从而造成拒绝服务（DoS）。

AI分析

技术摘要

CVE-2025-11419是Keycloak中发现的一个漏洞，Keycloak是一种广泛用于身份验证和授权服务的开源身份和访问管理解决方案。该缺陷源于对TLS 1.2客户端重协商请求缺乏限制或节流。未经身份验证的远程攻击者可以通过重复发起TLS重协商来利用此漏洞，这对服务器来说是计算密集型操作。这会导致CPU过度消耗，通过耗尽服务器资源并使Keycloak服务不可用，从而有效地造成拒绝服务（DoS）。该漏洞影响Keycloak的多个版本，包括0、26.2.0和26.4.0。由于不需要身份验证或用户交互，攻击面很广，并且可以利用自动化进行攻击。CVSS v3.1基础得分为7.5，将其归类为高危问题，主要影响可用性（A:H），对机密性或完整性没有影响。尽管目前尚未报告在野利用，但该漏洞的性质使其对依赖Keycloak进行关键身份验证服务的组织构成重大风险。缺少补丁链接表明可能即将发布修复程序，或者需要在网络或配置级别应用缓解措施。该漏洞于2025年10月保留，并于2025年12月发布，表明是最近发现和披露的。

潜在影响

对于欧洲组织而言，CVE-2025-11419的影响可能非常重大，特别是那些依赖Keycloak在内部和面向客户的应用程序中进行身份和访问管理的组织。成功的DoS攻击可能会破坏身份验证服务，导致合法用户无法访问、业务流程中断，并可能对其他依赖系统产生连锁反应。这可能会影响金融、医疗保健、政府和关键基础设施等行业，这些行业持续的身份验证可用性至关重要。该攻击不需要凭据或用户交互，增加了被广泛利用的风险。此外，如果服务中断影响数据访问或处理，可能会导致GDPR等法规下的合规性问题。无法对用户进行身份验证也可能阻碍事件响应和安全监控活动，从而增加组织的整体风险。

缓解建议

为了缓解CVE-2025-11419，组织应实施超出一般建议的具体控制措施：

1. 在网络边界或负载均衡器上对TLS重协商请求实施速率限制或节流机制，以防止过多的重协商尝试。
2. 如果可能，配置Keycloak或底层TLS库以禁用或限制客户端发起的TLS重协商。
3. 监控服务器CPU利用率和网络流量模式，查找表明重协商滥用的异常峰值。
4. 一旦Keycloak或Red Hat发布官方补丁或更新，立即应用。
5. 使用具有签名或启发式功能的Web应用程序防火墙（WAF）或入侵防御系统（IPS）来检测和阻止基于重协商的DoS攻击尝试。
6. 考虑部署具有负载均衡的冗余Keycloak实例，以提高应对资源耗尽的能力。
7. 维护包含针对身份验证基础设施的DoS攻击程序的事件响应计划。

受影响国家

德国、法国、荷兰、英国、意大利、西班牙

来源： CVE Database V5 发布日期： 2025年12月23日，星期二