Cybersec NewsБързи новини

Перфектно 10: Ъпдейтнете GitLab, ако ползвате onprem инсталация

Ъпдейтнете onprem инсталация на devops платформата GitLab до някоя от следните версии: 7.3.3, 17.2.7, 17.1.8, 17.0.8 или 16.11.10.

Причината: уязвимост в използваната ruby-saml инстанция за автентикация, която позволява неоторизиран достъп до хранилищата на код – уязвимост с перфектна оценка 10 от 10 (CVE-2024-45409). Ако ползвате cloud версията на платформата, ъпдейтите вече са приложени, твърдят от GitLab в официална публикация по темата.

Ако все пак не може да ъпдетйнете локалните инстанции на платформата, то приложете следното:

  1. Включете дву-факторната автентикация на GitLab за всички акаунти
  2. Забранате заобкалянето ѝ със SAML от конфигурацията на платформата

Следи за потенциални пробиви могат да бъдат открити вapplication_json и auth_json логовете. Ако е имало неуспешни опити за експлоатация на уязвимостта, ще откриете ValidationError от RubySaml билбиотеката. Примери:

{"severity":"ERROR","time":"2024-xx-xx","correlation_id":"xx","message":"(saml) Authentication failure! invalid_ticket: OneLogin::RubySaml::ValidationError, The response was received at https://domain.com/users/auth/saml/incorrect_callback instead of https://domain.com/users/auth/saml/callback"}
"message":"(saml) Authentication failure! invalid_ticket: OneLogin::RubySaml::ValidationError, Fingerprint mismatch"

Долният е ред е пример за след за успешна експлоатация и пробив в платформата:

{"severity":"INFO","time":"2024-xx-xx","correlation_id":"xx","meta.caller_id":"OmniauthCallbacksController#saml","meta.remote_ip":"0.0.0.0","meta.feature_category":"system_access","meta.client_id":"ip/0.0.0.0","message":"(SAML) saving user [email protected] from login with admin =\\u003e false, extern_uid =\\u003e exploit-test-user"}

Ако видите такъв лог, следвайте съветника тук.

Покажи още
Back to top button