ClickCease GitLab-Patches: Schwerer SAML-Authentifizierungsumgehungsfehler behoben - TuxCare

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

GitLab-Patches: Schwerer SAML-Authentifizierungsumgehungsfehler behoben

von Wajahat Raja

1. Oktober 2024 - TuxCare-Expertenteam

Vor kurzem wurde ein kritischer SAML-Authentifizierungsfehler in der Community Edition (CE) und Enterprise Edition (EE) von GitLab entdeckt. Ab sofort, GitLab-Patches GitLab-Patches zur Behebung der Schwachstelle veröffentlicht; wären die Patches jedoch nicht veröffentlicht worden, könnten Exploits der Schwachstelle nachteilig sein können. In diesem Artikel befassen wir uns mit den Details der Sicherheitslücke und den Patches und gehen dabei auf den Schweregrad, die Ursache und vieles mehr ein. Fangen wir an!

Ursprünge von CVE-2024-45409

Der Fehler in der ruby-saml-Bibliothek, für den GitLab-Patches veröffentlicht wurden, wurde unter der Nummer CVE-2024-45409 geführt. Die Schwachstelle hatte einen CVSS-Wert (Critical Vulnerability Severity Score) von 10,0, was bedeutet, dass Angreifer durch die Ausnutzung der Schwachstelle erhebliche Vorteile erlangen und so weiteren Schaden anrichten konnten.

Die Hauptursache und der Grund für die erforderlichen Patches war, dass die Bibliothek die Signaturen der SAML-Antwort nicht ausreichend prüfte. Security Assertion Markup Language (SAML) ist ein Sicherheitsprotokoll, das Single Sign-On (SSO) ermöglicht. Darüber hinaus gewährleistet das Protokoll den Austausch von Autorisierungs- und Authentifizierungsdaten über mehrere Anwendungen und Websites. 

In einem Sicherheitshinweisder Einblicke in potenzielle Sicherheitslücken gewährt, heißt es, dass:

"Ein nicht authentifizierter Angreifer mit Zugriff auf ein signiertes SAML-Dokument (durch den IdP) kann somit eine SAML-Antwort/Assertion mit beliebigem Inhalt fälschen. Dies würde dem Angreifer erlauben, sich als beliebiger Benutzer innerhalb des verwundbaren Systems anzumelden."

Kein bekanntes Exploit in freier Wildbahn

GitLab hat derzeit nicht erwähnt, dass die Schwachstelle in freier Wildbahn ausgenutzt wird. Allerdings, Medienberichte behauptet, dass GitLab Exploit-Versuche und Erfolge in Bezug auf die Schwachstelle angegeben hat, für die die GitLab-Patches veröffentlicht werden.

Diese Anzeichen deuten darauf hin, dass Bedrohungsakteure versuchen, die Schwachstelle auszunutzen, um sich einen ersten Zugang zu verschaffen. GitLab kommentiert den Erfolg und Misserfolg der Exploit-Versuche wie folgt erklärt dass:

"Erfolgreiche Ausnutzungsversuche lösen SAML-bezogene Protokollereignisse aus. Ein erfolgreicher Ausnutzungsversuch protokolliert den extern_id-Wert, der vom Angreifer beim Ausnutzungsversuch gesetzt wurde. Erfolglose Ausnutzungsversuche können einen ValidationError von der RubySaml-Bibliothek erzeugen. Dies kann verschiedene Gründe haben, die mit der Komplexität der Entwicklung eines funktionierenden Exploits zusammenhängen.

GitLab-Patches Freigegeben, um Bedrohungen zu entschärfen

Was die Patches betrifft, so wurden für die folgenden Versionen Korrekturen vorgenommen:  

  • 17.3.3. 
  • 17.2.7.
  • 17.1.8.
  • 17.0.8.
  • 16.11.10.

Zusätzlich zu diesen Patches wurde OmniAuth SAML auf Version 2.2.1 und Ruby-SAML auf 1.17.0 aktualisiert. Es ist erwähnenswert, dass das Problem nur selbst verwaltete Instanzen betrifft; daher müssen Benutzer von GitLab Dedicated-Instanzen keine Maßnahmen ergreifen. 

Benutzer, die über die betroffene Version verfügen, werden gebeten, umgehend die GitLab-Patches auf eine sichere Version zu aktualisieren, da dies die Bedrohungslage drastisch Bedrohungslage drastisch verringern kann.

Schlussfolgerung 

Der kritische SAML-Authentifizierungs-Bypass-Fehler stellte eine erhebliche Bedrohung für die selbstverwalteten Instanzen von GitLab dar. Es wurde zwar kein aktiver Missbrauch bestätigt, aber die Anwendung der veröffentlichten GitLab-Patches ist entscheidend für die Verringerung potenzieller Risiken. Da die Cyber-Bedrohungslandschaft immer komplexer wird, müssen die Benutzer proaktive Sicherheitsmaßnahmen um Schutz zu gewährleisten.

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und PIEPSENDER COMPUTER.

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!