在关键的安全版本中,GitLab 解决了其社区版 (CE) 和企业版 (EE) 平台中的一个严重漏洞 (CVE-2024-45409),该漏洞会影响所有自行管理的安装。强烈建议管理员立即升级到新修补的版本 16.10.10、16.9.11、16.8.10、16.7.10、16.6.10、16.5.10、16.4.7、16.3.9、16.2.11、16.1.8 或 16.0.10。这些版本包含最初针对极狐GitLab 版本 17.x.x 和 16.11.10 发布的关键安全修复程序。
CVE-2024-45409 是一个严重漏洞,影响 GitLab 的 OmniAuth 框架使用的安全断言标记语言 (SAML) 身份验证。SAML 是一种单点登录 (SSO) 协议,它允许使用一组凭证访问多个服务,从而简化用户登录。此漏洞源于 GitLab 验证身份提供商 (IdP) 发送的 SAML 响应的方式存在缺陷,特别是在 OmniAuth-SAML 和 Ruby-SAML 库中。
当 GitLab 错误处理 SAML 断言的某些元素时,会出现该错误,尤其是(外部用户 ID)。这是用于识别多个系统中的用户的关键标识符。如果 SAML 响应配置错误或纵,攻击者可以利用此漏洞绕过身份验证并获得对 GitLab 实例的未经授权的访问。extern_uid
extern_uid
该漏洞允许攻击者制作恶意 SAML 响应,诱骗 GitLab 相信他们是经过身份验证的合法用户。通过完全绕过 SAML 身份验证,攻击者可以不受限制地访问敏感的 GitLab 存储库,并可能危及源代码、知识产权和其他关键业务资产。
GitLab 尚未明确确认任何在野利用案例,但安全公告警告说可能已经进行了尝试。可能被利用的指标包括:
- 与 ‘RubySaml::ValidationError’ 相关的错误(尝试失败)
- 身份验证日志中出现新的或异常的“extern_uid”值(成功尝试)
- SAML 响应中的信息缺失或不正确
- 单个用户的多个“extern_uid”值(可能被盗用)
- 来自不熟悉或可疑 IP 地址的 SAML 身份验证
极狐GitLab 强烈建议所有受影响的自行管理安装立即升级到修补版本之一。
发表评论
您还未登录,请先登录。
登录