Af Eskil Sørensen, 20/09/24
GitLab har udgivet sikkerhedsopdateringer for at løse en kritisk SAML-autentificeringsomgåelse af sårbarhed, der påvirker selvadministrerede installationer af GitLab Community Edition (CE) og Enterprise Edition (EE).
Det skriver Bleeping Computer.
Sårbarheden har id’et CVE-2024-45409 og har fået tildelt en score på 10.0 på CVSS-skalaen.
Fejlen påvirker GitLab versioner før 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10 og alle tidligere udgivelser i disse generationer. Fejlen er blevet rettet ved at opgradere OmniAuth SAML til version 2.2.1 og Ruby-SAML til 1.17.0.
Security Assertion Markup Language (SAML) er en enkelt log-on (SSO) autentificeringsprotokol, der giver brugere mulighed for at logge på på tværs af forskellige tjenester ved hjælp af de samme legitimationsoplysninger. Den pågældende sårbarhed kommer fra et problem i OmniAuth-SAML- og Ruby-SAML-bibliotekerne, som GitLab bruger til at håndtere SAML-baseret godkendelse. Sårbarheden opstår, når SAML-svaret sendt af en identitetsudbyder (IdP) til GitLab indeholder en fejlkonfiguration eller er manipuleret, fremgår det af Bleeping Computers omtale. Specifikt involverer fejlen utilstrækkelig validering af nøgleelementer i SAML-påstandene, såsom extern_uid (eksternt bruger-id), som bruges til entydigt at identificere en bruger på tværs af forskellige systemer. En angriber kan så lave et ondsindet SAML-svar, der narrer GitLab til at genkende dem som autentificerede brugere, og som kan omgå SAML-godkendelse og give adgang til GitLab-instansen.
GitLab anbefaler, at alle installationer, der kører en version påvirket af de nævnte problemer, opgraderes til den nyeste version så hurtigt som muligt. Problemet påvirker kun selvadministrerede installationer, hvorfor meldingen er, at der ikke skal foretages nogen handling for brugere af GitLab Dedikerede instanser på GitLab.com
For dem, der ikke kan opgradere til en sikker version med det samme, foreslår GitLab at aktivere to-faktor-autentificering (2FA) på alle konti og indstille SAML 2FA-omgå-muligheden til "tillad ikke."
BleepingComputer har spurgt GitLab, om der er set aktiv udnyttelse af sårbarheden in-the-wild, men har ikke fået svar.
Links:
https://about.gitlab.com/releases/2024/09/17/patch-release-gitlab-17-3-3...
https://www.bleepingcomputer.com/news/security/gitlab-releases-fix-for-c...