GitLab 修补 CE 和 EE 版本中的关键 SAML 身份验证绕过漏洞

GitLab 已发布补丁来解决影响社区版 (CE) 和企业版 (EE) 的一个严重缺陷，该缺陷可能会导致身份验证绕过。

该漏洞根源于 ruby​​-saml 库（CVE-2024-45409，CVSS 评分：10.0），攻击者可利用该漏洞以任意用户身份登录系统。维护人员已于上周解决了该问题。

该问题是由于库未正确验证 SAML 响应的签名而导致的。SAML 是安全断言标记语言的缩写，是一种支持单点登录 (SSO) 以及跨多个应用程序和网站交换身份验证和授权数据的协议。

根据安全公告，未经身份验证的攻击者可以访问任何签名的 SAML 文档（由 IdP 签署），从而伪造具有任意内容的 SAML 响应/断言。这将允许攻击者以任意用户身份登录易受攻击的系统。

值得注意的是，该漏洞还影响 omniauth-saml，它发布了自己的更新（版本 2.2.1）以将 ruby​​-saml 升级到版本 1.17。

GitLab 的最新补丁旨在将依赖项 omniauth-saml 更新至版本 2.2.1，将 ruby​​-saml 更新至 1.17.0。这包括版本 17.3.3、17.2.7、17.1.8、17.0.8 和 16.11.10。

作为缓解措施，GitLab 敦促自管理安装的用户为所有帐户启用双因素身份验证 (2FA)，并禁止SAML 双因素绕过选项。

GitLab 并未提及该漏洞是否已被利用，但已提供试图或成功利用的迹象，这表明威胁行为者可能正在积极尝试利用这些缺陷来访问易受攻击的 GitLab 实例。

“成功的攻击尝试将触发与 SAML 相关的日志事件，”报告称，“成功的攻击尝试将记录攻击者试图攻击时设置的任何 extern_id 值。”

“不成功的利用尝试可能会从 RubySaml 库生成 ValidationError。这可能是由于多种原因造成的，与编写有效漏洞的复杂性有关。”

目前，美国网络安全和基础设施安全局 (CISA) 根据主动利用的证据，在其已知被利用漏洞 ( KEV ) 目录中添加了五个安全漏洞，其中包括最近披露的影响 Apache HugeGraph-Server 的严重漏洞 ( CVE-2024-27348，CVSS 评分：9.8)。

建议联邦民事行政部门 (FCEB) 机构在 2024 年 10 月 9 日之前修复已发现的漏洞，以保护其网络免受主动威胁。