SAML là giao thức xác thực đăng nhập một lần (SSO) cho phép người dùng đăng nhập trên nhiều dịch vụ khác nhau bằng cùng một thông tin đăng nhập.
Lỗ hổng được theo dõi có mã định danh CVE-2024-45409 (điểm CVSS: 10,0), xuất phát từ sự cố trong thư viện OmniAuth-SAML và Ruby-SAML mà GitLab sử dụng để xử lý xác thực dựa trên SAML. Lỗ hổng bảo mật này xảy ra khi phản hồi SAML do nhà cung cấp danh tính (IdP) gửi tới GitLab có cấu hình sai hoặc bị xâm phạm.
Cụ thể, lỗ hổng liên quan đến việc xác thực không đầy đủ các thành phần chính trong SAML assertions, chẳng hạn như extern_uid (ID người dùng bên ngoài), được sử dụng để xác định duy nhất người dùng trên các hệ thống khác nhau.
Kẻ tấn công có thể tạo ra phản hồi SAML độc hại để đánh lừa GitLab nhận ra họ là người dùng đã xác thực, bỏ qua xác thực SAML và giành quyền truy cập vào phiên bản GitLab.
Lỗ hổng CVE-2024-45409 đã được giải quyết trong GitLab phiên bản 17.3.3, 17.2.7, 17.1.8, 17.0.8 và 16.11.10, trong đó OmniAuth SAML được nâng cấp lên phiên bản 2.2.1 và Ruby-SAML lên 1.17.0.
Người dùng phiên bản GitLab Dedicated trên GitLab.com không cần thực hiện hành động nào vì sự cố này chỉ ảnh hưởng đến các cài đặt tự quản lý.
Để giảm thiểu rủi ro, GitLab khuyến nghị người dùng bật xác thực hai yếu tố (2FA) cho tất cả tài khoản và đặt tùy chọn bỏ qua SAML 2FA thành “do not allow”.
Trong một diễn biến khác, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm 5 lỗ hổng bảo mật vào danh mục Các lỗ hổng đã khai thác được biết đến (KEV), bao gồm một lỗi nghiêm trọng mới được tiết lộ ảnh hưởng đến Apache HugeGraph-Server (CVE-2024-27348, điểm CVSS: 9,8), dựa trên bằng chứng về việc khai thác đang diễn ra.
Dương Ngân (Tổng hợp)
08:00 | 22/07/2024
09:00 | 11/10/2024
13:00 | 12/06/2024
10:00 | 18/10/2024
12:00 | 06/05/2024
10:00 | 21/11/2024
Sàn thương mại điện tử Amazon đã nhận được một số báo cáo về tình trạng mạo danh Amazon và nhân viên Amazon để thực hiện các hành vi lừa đảo, gây thiệt hại cho người tiêu dùng.
07:00 | 17/11/2024
Tập đoàn Meta, chủ sở hữu của Facebook và Instagram đang phải đối mặt với vụ kiện mới tại Nhật Bản vì không ngăn chặn những quảng cáo lừa đảo tiền đầu tư.
14:00 | 12/11/2024
Bộ phận quản trị Google Cloud đã thông báo rằng họ sẽ thực thi xác thực đa yếu tố (MFA) bắt buộc đối với tất cả người dùng vào cuối năm 2025. Đây là một phần trong nỗ lực nâng cao khả năng bảo mật tài khoản của Google.
09:00 | 16/10/2024
Ngày 24/9, tại Hội thảo thường niên Duocon 2024, Nhà sản xuất nền tảng giáo dục trên di động Duolingo đã cho ra mắt những cải tiến mới dựa trên công nghệ trí tuệ nhân tạo (AI).
Một cảnh báo khẩn cấp được đưa ra đối với 1,5 tỷ người dùng iPhone trên toàn cầu, sau khi các chuyên gia phát hiện một cuộc tấn công mạng nhắm vào tài khoản Apple ID.
10:00 | 04/12/2024