- בלוג
- GitLab משחררת עדכונים לפרצת אימות חמורה בספריית Ruby-SAML
GitLab משחררת עדכונים לפרצת אימות חמורה בספריית Ruby-SAML
GitLab משחררת עדכונים לפרצת אימות חמורה בספריית Ruby-SAML
פורסם ב 20-09-2024
חברת GitLab שחררה תיקונים לפרצת אבטחה חמורה ביותר, שנמצאה בספריות Ruby-SAML של הפלטפורמה שלה. הפרצה קיימת גם בספריית Omni-Auth SAML, כך מוסרת GitLab.
הספרייה למעשה מכילה את הפרוטוקול לאימות משתמש לפי שיטת SSO (כניסת משתמש יחידה – Single Sign-on) בסטנדרט SAML לאפליקציות והשירותים של GitLab.
סטנדרט SAML הוא סטנדרט פתוח לסימון שפת אבטחה (Security Assertion Markup Language) המתפקד כפרוטוקול לשיטת אימות SSO . הוא נועד לאפשר לשירותים ולאפליקציות הקשורים אחד לשני “לתקשר” זה עם זה ולאמת זהויות ופרטים.
הפרצה תוייגה כ-CVE-2024-45409 והיא חמורה עד כדי כך שהיא דורגה כ-10 מתוך 10 בסולם CVSSv3.
היא משפיעה על המהדורה הקהילתית (CE) ועל המהדורה הארגוני (EE) של GitLab בגירסאות 17.3.3, 17.2.7, 17.1.8, 17.0.8, ו-16.11.10.
קצת על הפרצה
הפרצה נגרמת כתוצאה מאימות בלתי מספיק של חתימת התגובה לבקשת ה-SAML. בשל בעיית האימות הזו, משתמש לא מורשה במערכת – בהנחה שיש לו גישה לאישור SAML החתום על ידי ספק הזהויות של המערכת (IdP) – יכול לזייף תגובת SAML בעלת תכנים שרירותיים (Arbitrary Contents). כך, המשתמש הלא מורשה (התוקף) יכול ליצור משתמש שרירותי כלומר, משתמש שנוצר על ידי המערכת) ולחדור למערכת.
כאמור, מדובר בפרצה חמורה וקריטית ביותר, ואנחנו (וגם GitLab) ממליצים לעדכן את המערכות שלכם בהקדם האפשרי.
את העדכונים ניתן למצוא בדיווח של GitLab.
נציין ש-GitLab לא מסרה אם מישהו ניצל את הפרצה בהצלחה. עם זאת, זה לא אומר שאין מי שניסה/מנסה (והצליח) לעשות זאת.
לכן, GitLab כן סיפקה דרכים לגלות אם הפרצה נוצלה על מערכת ספציפית, ואם המתקפה נחלה הצלחה או כישלון. ניתן למצוא את כולן גם כן בדיווח שלה על העדכונים.
בנוסף, בכדי למזער את הסיכוי להתקפה מוצלחת על המערכות שלכם דרך הפרצה, מומלץ להפעיל אימות דו-שלבי לכל המשתמשים בסביבת הניהול של GitLab; ולבטל את אפשרות המעקף של האימות הדו-שלבי ב-SAML בסביבת הניהול של GitLab.
זכרו כי הפרצה איננה ייחודית ל-GitLab, וייתכן מאוד ששירותים ומוצרים נוספים שמשתמשים בספריית Ruby-SAML נמצאים בסיכון.
נשמח לסייע אם אתם צריכים עזרה בעדכון המערכות שלכם או בכל דבר אחר. צור קשר