【漏洞预警】GitLab SAML身份验证绕过漏洞CVE-2024-45409

文章预览

漏洞预警: GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可以通过Web界面访问公开或私人项目,SAML（Security Assertion Markup Language，安全断言标记语言）是一种基于XML的标准,用于在不同的安全域之间交换认证和授权数据,它被广泛应用于单点登录（SSO）解决方案,OmniAuth-SAML和Ruby-SAML库在GitLab中用于处理基于SAML的身份验证,由于这些库/工具无法正确验证SAML响应的签名,导致存在SAML身份验证绕过漏洞,威胁者可以制作恶意SAML响应从而绕过SAML身份验证并获得对GitLab实例的访问权限。 影响范围: GitLab CE/EE 17.3.x < 17.3.3 GitLab CE/EE 17.2.x < 17.2.7 GitLab CE/EE 17.1.x < 17.1.8 GitLab CE/EE 17.0.x < 17.0.8 GitLab CE/EE 16.11.x < 16.11.10 OmniAuth-SAML和Ruby-SAML依赖项: omniauth-saml < =2.1.0 ruby-saml < =1.12.2 1.13.0 < =ruby-saml < =1.16.0 安全措施: 升级版本 目前该漏洞已经修复,受影响用户 ………………………………