9月17日GitLab發布社群版(CE)及企業版(EE)的17.3.3、17.2.7、17.1.8、17.0.8、16.11.10版更新,當中修補CVSS風險程度達到滿分(10分)的漏洞CVE-2024-45409,這項漏洞能用於繞過SAML身分驗證機制,存在於Ruby SAML程式庫元件Ruby-SAML,攻擊者可在未經身分驗證的情況下,利用漏洞存取已由身分驗證提供者(IdP)簽署的SAML檔案,進而偽造SAML的回應。
這項漏洞發生的原因,在於Ruby-SAML無法正確驗證SAML回應的簽章,影響1.13.0至1.16.0版,以及12.2版以下的Ruby-SAML。對此,GitLab在公告中指出,IT人員應套用上述新版,或是手動將相依元件進行更新:omniauth-saml升級為2.2.1版、ruby-saml升級為1.17.0版,就能緩解漏洞帶來的危險。
若IT人員無法更新上述元件,該如何減輕漏洞的影響?其中一項措施是為所有使用者啟用GitLab內建的雙因素驗證(2FA)機制,但該公司強調,若是套用身分驗證提供者提供的相關機制,並無法緩解漏洞。
另一項緩解措施,則是停用該系統的SAML雙因素繞過功能。
究竟這項漏洞是否遭到利用?GitLab並未說明,但他們特別提及如何檢測漏洞遭到利用,以及GitLab系統是否遭到入侵的方法,這意味著可能有駭客著手嘗試利用。
熱門新聞
2024-10-13
2024-10-13
2024-10-11
2024-10-11
2024-10-11
2024-10-12
Advertisement