RATATOSKRATATOSK
로그인

Keycloak

26.5.4Security
2026년 2월 20일

Keycloak 26.5.4는 SAML 취약점과 권한 부여 우회 문제를 포함한 5개의 CVE를 해결하는 중요한 보안 패치 릴리스입니다. 성능 개선과 클러스터 안정성 수정 사항을 포함합니다.

  • security다중 CVE로 인한 즉시 업그레이드 필요

    이 릴리스는 권한 부여 우회와 DoS 취약점을 포함한 5개의 CVE를 수정합니다. SAML 구성과 Docker 레지스트리 프로토콜 사용을 검토하세요. 특히 SAML 브로커링이나 Docker 레지스트리 통합을 사용하는 경우 다음 유지보수 기간에 즉시 업그레이드를 예약하세요.

  • security구성에서 클라이언트 시크릿 노출 확인

    CVE 수정으로 인증되지 않은 엔드포인트에서의 클라이언트 시크릿 공개 문제가 해결되었습니다. 업그레이드 후 클라이언트 구성을 감사하고 잠재적으로 노출된 시크릿을 교체하세요. 무단 구성 엔드포인트 접근에 대한 액세스 로그를 검토하세요.

  • enhancement업그레이드 후 클러스터 성능 최적화

    새로운 세션 ID 키 선호도와 개선된 캐싱으로 클러스터 배포에서 성능이 향상됩니다. 업그레이드 후 로그인 페이지 응답 시간과 클러스터 안정성을 모니터링하세요. 데이터베이스 쿼리 감소와 더 나은 로드 분산을 확인할 수 있습니다.

주요 변경 (5)

  • SAML 응답 지연, 권한 부여 헤더 파싱 우회, DoS 취약점을 포함한 5개의 중요한 CVE 수정
  • 인증되지 않은 구성 엔드포인트에서의 클라이언트 시크릿 정보 공개 해결
  • 향상된 로드 밸런싱을 위한 세션 ID 키 선호도 메커니즘 개선
  • jdbc-ping을 사용하는 3개 이상 노드 구성에서 클러스터 재결합 문제 해결
  • 로그인 페이지 로드 시 데이터베이스 쿼리 캐싱 성능 개선