Comretix Blog

HP warnt vor einer Sicherheitslücke in der HP Hotkey-Support-Software, die die Funktionen für die Schnellzugriffstasten wie Lautstärkeregelung auf der Tastatur bereitstellt, von zahlreichen Business-Notebooks. Angreifer können dadurch ihre Rechte im System ausweiten. Es gibt jedoch Software-Aktualisierungen, um das Problem zu beheben.

Anzeige

Eine Schwachstelle sei in der HP Hotkey Support-Software entdeckt worden, erörtert Hewlett Packard in einer Sicherheitsmitteilung. Sie erlaube es Angreifern, ihre Rechte auszuweiten (CVE-2024-27458, CVSS 8.8, Risiko "hoch"). Die Lücke verpasst damit gerade so eben eine Einordnung als kritisches Risiko. Genauere Details, wie die Lücke ausgenutzt werden kann oder wie sich erfolgreiche Angriffe abwehren lassen, nennt HP jedoch nicht.

Die Sicherheitsmitteilung listet die betroffenen Geräte auf. Es handelt sich vorrangig um HP Business-Notebooks der Baureihen Elite, Elitebook, Pro, Probook sowie ZBook. Dabei sind jeweils unterschiedliche Fassungen, etwa bei den ZBooks jeweils Varianten der Serien Firefly, Fury und Studio betroffen. Zudem ergänzt HP, dass auch die Point-of-Sale-Systeme HP Engage Go 10 sowie 13.5 anfällig sind.

Die Auflistung verlinkt für die einzelnen betroffenen Geräte ein Softpaq, das die aktualisierte Hotkey-Support-Software enthält: SP154474. Wer HP-Business-Notebooks einsetzt, sollte daher die Liste prüfen, ob die eigenen Geräte darin auftauchen, und auf anfälligen Notebooks die aktualisierte Software herunterladen und installieren.

Das Wordpress-Plug-in Litespeed Cache ist äußerst populär. Es kommt auf mehr als sechs Millionen aktive Installationen und dient der Website-Beschleunigung und -Optimierung. Aufgrund einer gravierenden Schwachstelle in dem Plug-in – die Dritte innerhalb kurzer Zeit – sind die damit ausgestatteten Webseiten gefährdet.

Anzeige

Ein Beitrag beim IT-Sicherheitsunternehmen Patchstack erörtert die Sicherheitslücke. Demnach handelt es sich um eine sogenannte Stored Cross Site Scripting-Lücke, durch die nicht authentifizierte Angreifer sensible Informationen abgreifen und ihre Rechte auf der Wordpress-Website ausweiten können – mit einer einzigen HTTP-Anfrage. In der Schwachstellenzusammenfassung schreiben die IT-Forscher, dass Angreifer dadurch bösartige Skripte wie Redirectors, Werbung und anderen HTML-Code einschleusen können, die beim Besuch von Gästen auf der Seite ausgeführt werden (CVE-2024-47374, CVSS 7.1, Risiko "hoch").

Die Schwachstelle betrifft Litespeed Cache bis einschließlich Version 6.5.0.2. Seit einer Woche ist die aktualisierte Fassung Litespeed Cache 6.5.1 verfügbar, die die Sicherheitslücke abdichtet. Diese oder neuere Versionen sollten Admins von Wordpress-Instanzen mit dem verwundbaren Plug-in umgehend installieren. Die IT-Analysten von Patchstack halten es für sehr wahrscheinlich, dass die Lücke in Kürze in freier Wildbahn missbraucht wird.

Das ist seit Ende August bereits die dritte riskante Sicherheitslücke in Litespeed Cache, die die zahlreichen damit ausgestatteten Wordpress-Instanzen in Gefahr bringt. Im August erlaubte eine als kritisch eingestufte Lücke Angreifern aus dem Netz, ohne vorherige Authentifizierung einen administrativen Nutzer zu registrieren und die Wordpress-Instanz dann vollständig zu übernehmen (CVE-2024-28000, CVSS 9.8, Risiko kritisch). Im September entdeckten Patchstack-Forscher, dass das Debug-Feature alle HTTP-Anfragen mit den Session-Cookies protokolliert. Angreifer konnten hier ansetzen, um sich Admin-Rechte zu verschaffen (CVE-2024-44000).

Ivanti warnt erneut vor angegriffenen Sicherheitslücken in der Cloud Services Appliance (CSA). Kriminelle nutzen eine ältere Lücke in Kombination mit neuen Schwachstellen, um CSA-Systeme zu kompromittieren. In mehreren weiteren Produkten schließt Ivanti zudem Schwachstellen, die teils als kritisches Risiko eingestuft werden.

Anzeige

Ein Blog-Beitrag von Ivanti fasst die Oktober-Updates zusammen. Demnach greifen bösartige Akteure Sicherheitslücken in Ivantis CSA 4.6 an, das im September die letzten Sicherheitsupdates erhalten hat und am End-of-Life angekommen ist. Es handelt sich um eine Befehlsschmuggel-Lücke (CVE-2024-9380, CVSS 7.2, Risiko "hoch"), eine Path-Traversal-Schwachstelle (CVE-2024-9381, CVSS 7.2, hoch) und schließlich eine SQL-Injection-Lücke (CVE-2024-9379, CVSS 6.5, mittel), die von den Kriminellen in Kombination mit der alten Schwachstelle CVE-2024-8963 (Risiko "kritisch") für die Attacken genutzt werde.

Die Schwachstellen finden sich zwar bis in die CSA-Version 5.0.1, allerdings seien bislang lediglich Angriffe auf die nicht mehr unterstützte CSA-Version 4.6 beobachtet worden. Laut Sicherheitsmitteilung schließt CSA 5.0.2 die Lücken.

Eine kritische Sicherheitslücke findet sich in der VPN- und Network-Access-Control-Software Ivanti Connect Secure und Policy Secure. Angemeldete Nutzer können darin aus der Ferne Code einschleusen und ausführen (CVE-2024-37404, CVSS 9.1, kritisch). Die Versionen Ivanti Policy Secure 22.7R1.1 sowie Ivanti Connect Secure 9.1R18.9 (erscheint am 15.10.), 22.7R2.1 und 22.7R2.2 bügeln die Fehler aus.

Die diesjährige Samsung-Entwicklerkonferenz SDC24 brachte im Bereich Smartphones zwar wenig Neuigkeiten, überraschte dafür jedoch mit einer erfreulichen Ankündigung aus dem Bereich IT-Sicherheit. Offenbar will Samsung neue Geräte aus seiner Smarthome-Riege mit Passkey-Unterstützung ausstatten.

Anzeige

Samsungs betriebssystemeigene Schlüsselverwaltung Pass auf den Smartphones des Herstellers kann schon seit einiger Zeit Passkeys speichern und zwischen Geräten synchronisieren. Jetzt soll die Funktion auch auf die neuen Smart-TVs und Smarthome-Geräte des Herstellers kommen. Samsung schreibt in der Pressemitteilung zum Event, dass Passkeys nun auch Einzug in das Smart-TV-Betriebssystem Tizen halten werden. Außerdem sollen smarte Kühlschränke mit AI Family Hub sowie andere smarte Haushaltsgeräte mit AI Home Passkey-Unterstützung bekommen. Zu erwarten ist die Neuerung bei Modellen, die im nächsten Jahr auf den Markt kommen sollen.

Passkeys sind eine Initiative der Fido-Alliance, ein Branchenverband, dem neben großen Tech-Unternehmen wie Apple, Google oder Microsoft unter anderem auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) angehören. Das passwortlose Anmeldeverfahren verbindet sichere Public-Key-Kryptografie mit einem biometrischen Faktor, etwa einem Gesichts- oder Fingerabdruckscan, der anstelle eines Passworts zum Einloggen bei einem Internetdienst verwendet wird. Alternativ kann zum Einloggen auch eine Geräte-PIN oder ein Gerätepasswort zum Einsatz kommen.

Passkeys über Smartphones, Tablets und Rechner hinaus auf vernetzten Geräten nutzbar zu machen, ist ein sinnvoller nächster Schritt. Das passwortlose Anmeldeverfahren ist nicht nur Phishing-sicher, sondern auch deutlich bequemer als das Einloggen per Passwort. Trotzdem haben laut einer Umfrage des BSI längst nicht alle Internetnutzer begonnen, ihre Logins auf Passkeys umzustellen. Die Behörde hat jüngst eine Empfehlung ausgesprochen, das Verfahren zu nutzen, soweit bereits verfügbar. Eine Community-geführte Liste aller Webdienste, die die passwortlose Anmeldung bereits anbieten, findet sich unter passkeys.directory.

Adobe hat zum Oktober-Patchday Sicherheitsmitteilungen zu neun verwundbaren Produkten mit Schwachstellen veröffentlicht. Die gravierendsten Sicherheitslücken finden sich in Adobe Commerce, die Entwickler stufen sie als kritisch ein.

Anzeige

Auf der Übersichtsseite der Sicherheitsmeldungen von Adobe listen die Entwickler die neun neuen Security Advisories auf. Demnach haben die Programmierer Sicherheitsupdates für Lightroom, InDesign, FrameMaker, Commerce (damit auch Magento), Animate, Substance 3D Stager, Substance 3D Painter, Dimension und InCopy herausgegeben.

Am schwerwiegendsten ist eine Lücke in der B2B-Version von Adobe Commerce, die Angreifern das Ausweiten der Rechte ermöglicht (CVE-2024-45115, CVSS 9.8, Risiko "kritisch"). Dazu ist weder eine vorherige Authentifizierung nötig, noch müssen bösartige Akteure zuvor Admin-Rechte innehaben. Die weiteren Lücken, auch die in den anderen Produkten, stuft Adobe größtenteils als hohes Risiko ein. IT-Verantwortliche sollten daher prüfen, ob die verwundbaren Produkte in ihren Umgebungen zum Einsatz kommen und die Aktualisierungen rasch anwenden.

Die Sicherheitsmitteilungen im Einzelnen, nach Schweregrad sortiert:

Microsoft hat zum Oktober-Patchday Fehlerkorrekturen zu 117 CVE-Schwachstelleneinträgen herausgegeben. Zwei der Lücken werden bereits in freier Wildbahn angegriffen. "Missbrauch entdeckt", fasst Microsoft das zusammen, betroffen sind die Microsoft Management Console und die Windows MSHTML-Plattform.

Anzeige

Die Release-Note zum Oktober-Patchday von Microsoft listet alle Sicherheitslücken auf, die das Unternehmen angegangen ist. Es sind wieder Produkte aus allen Bereichen von Sicherheitslecks betroffen, von der lokalen Windows-Installation bis zur Azure-Cloudsoftware.

In Microsofts Management Console können Angreifer Schadcode einschleusen und ausführen. Aus Microsofts Erläuterung, wie das Update wirkt, lässt sich herleiten, dass manipulierte "nicht vertrauenswürdige Microsoft Saved Console (MSC)-Dateien" den Fehler auslösen konnten. Diese lassen sich nach dem Update nicht mehr laden (CVE-2024-43572, CVSS 7.8, Risiko "hoch"). In der Windows MSHTML Plattform haben Angreifer eine Cross-Site-Scripting-Lücke zum Fälschen von Anzeigen missbraucht (CVE-2024-43573, CVSS 6.5, mittel). Microsoft schreibt in den Sicherheitsmitteilungen nicht, wie Angriffe sich erkennen lassen, das Unternehmen nennt auch keine temporären Gegenmaßnahmen.

Microsoft hat zudem Schwachstellen als kritisches Risiko eingestuft. Einmal eine Codeschmuggel-Lücke in Microsoft Configuration Manager (CVE-2024-43468, CVSS 9.8, kritisch) und dann eine Rechteausweitungslücke in Windows Netlogon (CVE-2024-38124, CVSS 9.0, kritisch). Rund ein Dutzend Meldungen streifen mit einer CVSS-Einstufung von 8.8 an der höchsten Risikostufe nur knapp vorbei.

Wissenschaftler haben zwei Schwachstellen in Intels neuester Sicherheitstechnologie, den Trusted Domain Extensions (TDX), identifiziert. TDX sollen die Datenverarbeitung in der Cloud schützen, indem sie Programme vom Betriebssystem isolieren. Die Forscher aus dem Institut für IT-Sicherheit der Universität zu Lübeck, darunter Luca Wilke, Florian Sieck und Prof. Thomas Eisenbarth, veröffentlichten ihre Ergebnisse unter dem Titel "TDXdown".

Anzeige

Die Schwachstellen ermöglichen sogenannte Seitenkanal-Angriffe. Ein Angreifer könnte durch Manipulation der CPU-Frequenz die TDX-Sicherheitsmechanismen überlisten. Denkbar ist es, die Ausführung der TEE zu beobachten "und Rückschlüsse über die verarbeiteten Daten zu schließen", erklärt Eisenbarth.

Intel hat bereits eine der Schwachstellen behoben und empfiehlt, die TDX-Modulversion 1.5.06 oder höher zu installieren, um das Risiko zu verringern. Die zweite Schwachstelle erfordert jedoch Maßnahmen auf der Anwendungsebene, um die Verwundbarkeit auszunutzen.

Single-Stepping-Angriffe stellen eine große Bedrohung für Trusted Environment Executions (kurz TEE) dar. Dadurch können Angreifer TEE-Befehle nacheinander ausführen, "wodurch zahlreiche kontrollierte und auf Seitenkanälen basierende Sicherheitsprobleme entstehen", heißt es in dem Paper.

In vielen Modellen der Vigor-Serie klaffen Sicherheitslücken, die unter Umständen die komplette Übernahme der Geräte durch Angreifer erlauben, warnt der Dienstleister Forescout. Experten des Unternehmens hatten die Firmware der Geräte analysiert und waren dabei auf teils kritische Fehler gestoßen.

Anzeige

In ihrem Report gehen die Forscher mit Vigor hart ins Gericht. So sei die hohe Defektdichte an wenigen Stellen der Firmware auffällig – ausgerechnet bei CGI-Skripten (Common Gateway Interface), die über die Web-Schnittstelle der Router häufig sogar aus dem Internet aufgerufen werden könnten. Das Betriebssystem DrayOS läuft entweder direkt auf dem Router oder wird mittels QEMU emuliert – etwa auf Draytek-Routern der 391x-Serie.

Die Forscher analysierten den DrayOS-Kernel und stolperten zunächst über fehlende Sicherheitsmaßnahmen wie Stack-Canaries, ASLR (Address Space Layout Randomization) oder PIE (Position Indepedent Executable). Zudem fehlt den DrayOS-Kernels das NX-Bit, das die Ausführung von Code auf dem Stack oder Heap verhindert. Die Sicherheitslücken auszunutzen, wurde dadurch für die Analysten zu einer bloßen Fingerübung.

Unter den gefundenen Sicherheitslücken stechen CVE-2024-41592 und CVE-2024-41585 hervor. Erstere, ein Buffer Overflow, ermöglicht Dienstverhinderung (DoS) und Codeschmuggel und ist aus der Ferne ausnutzbar – sie erntet damit die CVSS-Höchstwertung 10. Sie teilt sich die kritische Risikoeinstufung mit der zweiten, jedoch etwas ungefährlicheren (CVSS 9,1) Lücke, die nicht nur die Ausführung beliebiger Kommandos ermöglicht, sondern auch den Ausbruch aus der QEMU-VM in der DrayOS läuft.

Bei russischen Staatsmedien und -organisationen ist es seit Montag zu einem größeren IT-Systemausfall gekommen, der womöglich auf einen Cyberangriff zurückgeht. Das melden unter anderem die Agentur Reuters und die russische Gazeta. Das genaue Ausmaß des Ausfalls ist unklar, zur Stunde sind jedoch noch einige Systeme nicht erreichbar. Der Sendebetrieb des Staatsfernsehens ist derzeit unbeeinträchtigt, intern beginnen offenbar die Aufräum- und Untersuchungsarbeiten.

Anzeige

Die russische WGTRK (Всероссийская государственная телевизионная и радиовещательная компания, etwa: Allrussische staatliche Fernseh- und Radiogesellschaft) ist als staatliche Medienholding unter anderem Eigentümerin der Fernsehsender Rossija 1, 2, des sanktionierten Auslandssenders Rossija RTR und mehrerer Radiosender. Sie geriet in der Nacht zum siebten Oktober unter digitalen Beschuss: Wie mehrere Medien übereinstimmend berichten, fielen Websites und -streams der WGTRK-eigenen Medien aus. Auch beim Justizministerium schlossen sich die virtuellen Türen, mehrere Domains des Ministeriums sind bis dato noch vom Netz.

Wie eine Quelle aus dem Umfeld der Medienholding gegenüber dem russischen Nachrichtenportal Gazeta bemerkte, seien alle Daten, einschließlich Backups, von den Servern der Organisation gelöscht, die Wiederherstellung werde daher lange dauern. Reuters-Journalisten berichteten zudem, dass der Stream des Senders Rossija-24 nicht verfügbar sei. Auch interne Dienste wie Internet- und Telefonanschlüsse von WGTRK seien betroffen.

Gegenüber der staatlichen russischen Nachrichtenagentur TASS wiegelte ein WGTRK-Sprecher hingegen ab: Man habe keinen wesentlichen Schaden erlitten und alles funktioniere wie gewohnt. So ist zwar ist der unterbrochene Livestream am Dienstagvormittag wiederhergestellt, die russischsprachige WGTRK-Website ebenso. Die englische Version der Internetpräsenz der Medienholding ist jedoch weiterhin offline – eine Überprüfung durch heise online und Netzwerkexperten ergab, dass sie auch aus Russland heraus nicht aufrufbar ist.

Im Oktober bekommen SAP-Admins weniger Arbeit als üblich: Lediglich sechs neue Sicherheitslücken stopfen die Walldorfer Entwickler in der Business-Software. Zudem aktualisieren sie die Sicherheitsnotizen zu sechs älteren Schwachstellen.

Anzeige

In der Patchday-Übersicht von SAP listen die Entwickler die betroffenen Produkte auf. Zwei neu entdeckte Sicherheitslücken stufen sie als hohes Risiko ein, vier weitere als mittleres. Die aktualisierten Meldungen umfassen ein Risiko-Spektrum von mittel bis kritisch.

In folgenden Produkten schließt SAP neue Schwachstellen mit aktualisierter Software:

In der SAP-Übersicht verlinken die Programmierer die konkreten Sicherheitsnotizen zu den Schwachstellen. IT-Verantwortliche können nach Anmeldung in ihre SAP-Konten darauf zugreifen.

Kritische Infrastrukturen (KRITIS) unterliegen nach § 8a Abs. 1 BSIG besonderen Sicherheitsanforderungen. Die Betreiber dieser Unternehmen und öffentlichen Einrichtungen sind verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) regelmäßig nachzuweisen, dass ihre IT-Sicherheit dem aktuellen Stand der Technik entspricht. Dazu müssen sie angemessene organisatorische und technische Maßnahmen ergreifen, um Störungen zu vermeiden, die die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität ihrer IT-Systeme gefährden können.

Anzeige

In unserem zweitägigen Workshop KRITIS: Spezielle Prüfverfahrenskompetenz für § 8a BSIG erhalten Sie einen umfassenden Überblick über die Anforderungen von KRITIS und können sich gezielt auf Prüfungen für § 8a BSIG vorbereiten. Nach bestandener Abschlussprüfung am Ende der Schulung erhalten die Teilnehmenden die Zusatzqualifikation "Spezielle Prüfverfahrenskompetenz für § 8a BSIG". Damit sind sie berechtigt, Sicherheitsprüfungen für § 8a BSIG im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik durchzuführen.

Der Workshop wird von Andre Windsch geleitet. Als Senior Expert bei der HiSolutions AG verantwortet er dort das Themenfeld „Kritische Infrastrukturen“ nach BSI-Gesetz. In seinem Aufgabenbereich unterstützt er Betreiber Kritischer Infrastrukturen aus den unterschiedlichsten Branchen und Sektoren bei der Umsetzung der spezifischen Anforderungen.

Dieser iX-Workshop folgt dem BSI-Schulungskonzept und richtet sich insbesondere an Auditoren wie interne Revisoren, Revisoren, Wirtschaftsprüfer mit IT-Revisionserfahrung sowie Mitarbeitende von Revisionsgesellschaften und Betreibern kritischer Infrastrukturen. Um einen intensiven Austausch untereinander und eine optimale Vorbereitung auf die Prüfung und Zertifizierung zu ermöglichen, ist diese Schulung auf 12 Teilnehmende beschränkt.

Google hat zum Oktober-Patchday in Android mehrere Sicherheitslücken ausgebessert. Den Entwicklern zufolge ist eine Lücke in der System-Komponente am schwerwiegendsten. Sie ermöglicht Angreifern aus dem Netz, Schadcode einzuschleusen, ohne dass dazu weitere Rechte angefordert oder benötigt würden.

Anzeige

In Googles Security-Bulletin zum Android-Patchday listen die Entwickler zum Patch-Level 2024-10-01 drei Schwachstellen im Framework auf. Diese wurden allesamt als hohes Risiko eingestuft und betreffen Android 12, 12L, 13 und 14 – sowie zwei davon sogar das neue Android 15, dessen Quellcode seit rund einem Monat verfügbar ist. Vier der Schwachstellen finden sich in der System-Komponente von Android; drei betreffen die Version 12, 12L, 13 und 14, eine davon zudem ebenfalls Android 15. Die vierte Schwachstelle ist ausschließlich in Android 14 zu finden.

Zudem gesellen sich Sicherheitslücken in der ART-Laufzeitumgebung von Android und in den WiFi-Komponenten, die jedoch mit Google Play-Systemupdates geschlossen werden. Der Sicherheits-Patch-Level 2024-10-05 bessert noch weitere Schwachstellen in der Software der Prozessorhersteller aus, darunter Imagination Technologies, MediaTek und Qualcomm.

Smartphone-Hersteller haben laut Google die Quellcode-Flicken bereits vor vier Wochen erhalten. Sie hatten daher schon Zeit, aktualisierte Firmwares für ihre Geräte zu entwickeln. In Kürze sollten Android-Smartphones, die noch Support erhalten, daher mit Firmware-Updates rechnen können. Die Firmware-Aktualisierungen für Googles Pixel-Smartphones stehen zum Meldungszeitpunkt noch aus. Dort ist derzeit der Stand September 2024 noch aktuell. Gleiches Bild zeigt sich zurzeit bei Samsungs S24-Flaggschiff-Generation.

Unter Umständen speichert Word Dokumente nicht, wenn es danach fragt, sondern löscht diese. Betroffen ist Word mit der Versionsnummer 2409 aus dem Microsoft-365-Softwarebundle.

Anzeige

In den Optionen zum Speichern in Word soll das setzen der gerahmten Option Abhilfe schaffen.

(Bild: Screenshot / dmk)

Ein Support-Artikel von Microsoft erläutert das Problem. "Nutzerinnen und Nutzer von Word Build 2409 können auf ein Problem stoßen, wodurch ihre Dateien gelöscht anstatt gespeichert werden, sofern der Name eine Dateierweiterung in Großschrift enthält (.DOCX, .RTF) oder das Zeichen '#'", erklären die Entwickler. "Das Problem tritt auf, nachdem die Datei verändert wurde und der Speichern-Dialog erscheint, wenn man versucht, Word zu schließen", schließt die Fehlerbeschreibung.

Rund vier Monate nach Keycloak 25 steht nun Version 26 bereit. Das neueste Release der quelloffenen Software für Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) entkoppelt die Veröffentlichung mancher Keycloak Client Libraries vom Releasezyklus des Keycloak-Servers, bringt Neuerungen für das Persistieren von User-Sessions und präsentiert eine Preview für Distributed Tracing mit dem Open-Source-Framework OpenTelemetry.

Anzeige

Künftig besitzen drei Keycloak-Client-Libraries einen vom Keycloak-Server unabhängigen Releasezyklus. Im aktuellen Release erscheinen die Libraries noch gemeinsam mit dem Server, doch das könnte laut dem Entwicklungsteam zum letzten Mal der Fall sein.

Die betreffenden Client-Libraries sind die Maven-Artefakte Java Admin Client (org.keycloak:keycloak-admin-client), Java Authorization Client (org.keycloak:keycloak-authz-client) und Java Policy Enforcer (org.keycloak:keycloak-policy-enforcer). Diese sind mit Java 8 kompatibel und lassen sich daher mit Clientanwendungen nutzen, die auf älteren Anwendungsservern deployt sind. In Zukunft könnten weitere Libraries hinzukommen.

Keycloak 25 brachte die Funktion persistent-user-sessions, mit der sich alle User-Sessions in der Datenbank persistieren lassen – im Gegensatz zum vorherigen Verhalten, als dies nur für Offline-Sessions galt. In Keycloak 26 ist dies nun standardmäßig aktiviert. Somit bleiben Nutzerinnen und Nutzer auch nach einem Neustart oder Upgrade aller Keycloak-Instanzen eingeloggt.