【安全圈】速更新！GitLab发布更新修复CVSS满分漏洞

文章预览

关键词 GitLab 一、 漏洞介绍 GitLab发布社交媒体版（CE）及企业版（EE）的17.3.3、17.2.7、17.1.8、17.0.8、16.11.10版更新，其中修补CVSS风险程度达到满分（10分）的漏洞CVE-2024-45409，这项漏洞能用于绕过SAML身份验证机制，存在于Ruby SAML程序库组件Ruby-SAML，攻击者可在未经身份验证的情况下，利用漏洞访问已由身份验证提供者（IdP）签署的SAML文件，进而伪造SAML的回应。 这项漏洞发生的原因，在于Ruby-SAML无法正确验证SAML回应的签章，影响1.13.0至1.16.0版，以及12.2版以下的Ruby-SAML。对此，GitLab在公告中指出，IT人员应套用上述新版，或是手动将相依组件进行更新：omniauth-saml升级为2.2.1版、ruby-saml升级为1.17.0版，就能缓解漏洞带来的危险。 二、 基本情况 GitLab是一个用于仓库管理系统的开源项目，其使用Git作为代码管理工具，可以通过Web界面访问公开或私人项目 ………………………………