#Linux & Open Source · 3 Min. Lesezeit · Tim Rinkel

KEYCLOAK-ALARM! 10 CVEs auf einen Schlag — so flickst du DEIN SSO in 5 MINUTEN!

KEYCLOAK-ALARM! 10 CVEs auf einen Schlag — so flickst du DEIN SSO in 5 MINUTEN!

Keycloak hat aufgeräumt — und zwar gründlich. Mit 26.6.1 kippen die Maintainer zehn CVEs auf einen Schlag aus dem Auth-Server. Wer SSO produktiv betreibt, sollte den Patch noch heute einplanen.

WAS WIRD GEFLICKT?

Die Liste liest sich wie ein Mini-Audit:

  • CVE-2026-4366 — Blind Server-Side Request Forgery über HTTP-Redirect-Handling.
  • CVE-2026-4633 — User-Enumeration über Identity-First-Login.
  • CVE-2026-4282, 4634, 4636, 3872, 3429, 4325, 1002 sowie das Alt-Ticket CVE-2025-14083.

Keine Komplett-Übernahme, aber genug Material, dass ein motivierter Angreifer in produktiven Setups Lücken aufstapeln könnte. SSRF und User-Enum kombiniert sind ein klassischer Hebel für Phishing-Vorbereitung.

WAS IST BLIND SSRF?

Bei einer Server-Side Request Forgery zwingt der Angreifer den Server, eine Anfrage ins interne Netz zu schicken. „Blind“ heißt: er sieht die Antwort nicht direkt — aber er kann Side-Channels wie Antwortzeiten oder Logs auswerten. Im Keycloak-Kontext: Über Redirect-Handler-Logik werden interne Endpunkte erreichbar.

HAMMER: ZERO-DOWNTIME-PATCH

Der Clou am 26.6-Stream: Zero-Downtime-Patches sind GA. Du kannst innerhalb der gleichen Major.Minor-Linie ein Rolling-Update fahren, ohne die SSO-Anmeldung deiner Nutzer abzuwürgen.

SO UPDATEST DU OHNE PANIK

  1. Backup der Datenbank und der Keycloak-Realms-Exporte ziehen.
  2. Image-Tag auf quay.io/keycloak/keycloak:26.6.1 setzen (oder das Distro-Paket nach Empfehlung tauschen).
  3. Rolling-Update deines Clusters anstoßen — eine Replica nach der anderen.
  4. Smoke-Test mit einer Test-Login-Session und einem Token-Refresh.

WER ALTE 26.x-VERSIONEN FÄHRT

Keycloak empfiehlt für jede aktuelle 26.x-Installation dieses Update — same-day. Wenn du an 26.5.x klebst, ist 26.5.6 die saubere Antwort. Klingt nach „Update-Wahnsinn“, ist aber der Preis für ein Identity-Brain, das Millionen Endpunkte schützt.

EXTRA-TIPP: REALM-EXPORT VOR DEM PATCH

Der Realm-Export ist Gold. Wenn der Rolling-Update mal patzt, importierst du den letzten Stand in Sekunden zurück. Ohne diesen Export tappst du blind, wenn etwas hakt.

FAZIT: PFLICHT, KEINE KÜR

Keycloak 26.6.1 ist kein Feature-Update, sondern reine Security-Hygiene. Wer Identity-Provider selbst hostet, hat eine Verantwortung — und die heißt patchen, sobald 10 CVEs in einer Release-Note auftauchen.

Häufige Fragen

Welche Versionen sind betroffen?
Alle Keycloak-26.x-Installationen vor 26.6.1 sind betroffen — und 26.5.x vor 26.5.6. Wer noch ältere Streams fährt, sollte ohnehin zeitnah ein Major-Upgrade planen.
Gab es schon aktive Angriffe?
Bisher sind keine breitflächigen aktiven Ausbrüche dokumentiert. Die SSRF- und User-Enum-Klasse ist aber Standardrepertoire für Angreifer, sobald Exploit-Details bekannt werden.
Wie führe ich das Update durch?
Container: Image auf 26.6.1 setzen und Rolling-Update fahren. Bare-Metal: Distro-Paket aktualisieren und Keycloak neu starten. Vorher Realms-Export und DB-Backup machen — falls etwas hakt.
Bricht das Update bestehende Konfigurationen?
Innerhalb der 26.6-Linie nicht. Zero-Downtime-Patches sind GA, ein Rolling-Restart pro Cluster-Replica reicht. Wer von älteren Versionen kommt, sollte den Migrations-Guide lesen.

Quellen: Keycloak 26.6.1 Release Notes · GitHub Release · VersionLog Keycloak

Hinweis: Dieser Artikel basiert auf öffentlich verfügbaren Berichten zum Veröffentlichungszeitpunkt. Versionsnummern und Patch-Stände können sich kurzfristig ändern — vor produktiven Updates immer die offiziellen Release Notes prüfen.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert