GitLab 已发布补丁,以解决影响社区版 (CE) 和企业版 (EE) 的关键缺陷,该缺陷可能导致身份验证绕过。该漏洞根源于 ruby-saml 库(CVE-2024-45409,CVSS 评分:10.0),该库可能允许攻击者在易受攻击的系统内以任意用户身份登录。维护者上周解决了这个问题。由于库未正确验证 SAML 响应的签名而导致的问题。SAML 是 Security Assertion Markup Language 的缩写,是一种支持跨多个应用程序和网站进行单点登录 (SSO) 以及身份验证和授权数据交换的协议。“根据安全公告,有权访问任何签名 SAML 文档(由 IdP)的未经身份验证的攻击者因此可以伪造包含任意内容的 SAML 响应/断言。”这将允许攻击者在易受攻击的系统内以任意用户身份登录。值得注意的是,该漏洞还影响了 omniauth-saml,它发布了自己的更新(版本 2.2.1),用于将 ruby-saml 升级到版本 1.17。GitLab 的最新补丁旨在将依赖项 omniauth-saml 更新到版本 2.2.1,将 ruby-saml 更新到 1.17.0。这包括版本 17.3.3、17.2.7、17.1.8、17.0.8 和 16.11.10。作为缓解措施,GitLab 敦促自行管理安装的用户为所有账户启用双因素身份验证 (2FA),并禁止 SAML 双因素绕过选项。GitLab 没有提到在野外利用的漏洞,但它提供了尝试或成功利用的指标,这表明威胁行为者可能正在积极尝试利用这些缺点来访问易受攻击的 GitLab 实例。“成功的利用尝试将触发与 SAML 相关的日志事件,”它说。“成功的利用尝试将记录攻击者尝试利用extern_id设置的任何值。”“不成功的利用尝试可能会从 RubySaml 库生成 ValidationError。这可能是由于各种原因,这与制作有效漏洞的复杂性有关。在美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞 (KEV) 目录中添加了五个安全漏洞,包括最近披露的针对 Apache HugeGraph-Server 的严重漏洞(CVE-2024-27348,CVSS 评分:9.8),基于主动利用的证据。建议联邦民事行政部门 (FCEB) 机构在 2024 年 10 月 9 日之前修复已发现的漏洞,以保护其网络免受主动威胁。
