SAML là giao thức xác thực đăng nhập một lần (SSO) cho phép người dùng đăng nhập trên nhiều dịch vụ khác nhau bằng cùng một thông tin đăng nhập.
Lỗ hổng được theo dõi có mã định danh CVE-2024-45409 (điểm CVSS: 10,0), xuất phát từ sự cố trong thư viện OmniAuth-SAML và Ruby-SAML mà GitLab sử dụng để xử lý xác thực dựa trên SAML. Lỗ hổng bảo mật này xảy ra khi phản hồi SAML do nhà cung cấp danh tính (IdP) gửi tới GitLab có cấu hình sai hoặc bị xâm phạm.
Cụ thể, lỗ hổng liên quan đến việc xác thực không đầy đủ các thành phần chính trong SAML assertions, chẳng hạn như extern_uid (ID người dùng bên ngoài), được sử dụng để xác định duy nhất người dùng trên các hệ thống khác nhau.
Kẻ tấn công có thể tạo ra phản hồi SAML độc hại để đánh lừa GitLab nhận ra họ là người dùng đã xác thực, bỏ qua xác thực SAML và giành quyền truy cập vào phiên bản GitLab.
Lỗ hổng CVE-2024-45409 đã được giải quyết trong GitLab phiên bản 17.3.3, 17.2.7, 17.1.8, 17.0.8 và 16.11.10, trong đó OmniAuth SAML được nâng cấp lên phiên bản 2.2.1 và Ruby-SAML lên 1.17.0.
Người dùng phiên bản GitLab Dedicated trên GitLab.com không cần thực hiện hành động nào vì sự cố này chỉ ảnh hưởng đến các cài đặt tự quản lý.
Để giảm thiểu rủi ro, GitLab khuyến nghị người dùng bật xác thực hai yếu tố (2FA) cho tất cả tài khoản và đặt tùy chọn bỏ qua SAML 2FA thành “do not allow”.
Trong một diễn biến khác, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm 5 lỗ hổng bảo mật vào danh mục Các lỗ hổng đã khai thác được biết đến (KEV), bao gồm một lỗi nghiêm trọng mới được tiết lộ ảnh hưởng đến Apache HugeGraph-Server (CVE-2024-27348, điểm CVSS: 9,8), dựa trên bằng chứng về việc khai thác đang diễn ra.
Hồng Đạt
(Tổng hợp)
08:00 | 22/07/2024
13:00 | 12/06/2024
12:00 | 06/05/2024
13:00 | 30/09/2024
LinkedIn - nền tảng mạng xã hội chuyên nghiệp đã ngừng xử lý dữ liệu người dùng tại Vương quốc Anh để đào tạo các mô hình trí tuệ nhân tạo (AI) của mình. Động thái này diễn ra sau khi Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) bày tỏ lo ngại về cách tiếp cận của công ty trong việc sử dụng dữ liệu người dùng cho mục đích AI.
07:00 | 27/09/2024
Microsoft chính thức thông báo, dịch vụ Windows Server Update Services (WSUS) hiện đã ngừng hoạt động, nhưng hãng vẫn có kế hoạch duy trì chức năng hiện tại và tiếp tục phát hành các bản cập nhật thông qua kênh này.
17:00 | 05/08/2024
Ngày 03/8/2024, đông đảo các chuyên gia Blockchain và AI khắp ba miền Bắc, Trung, Nam đã tham gia buổi gặp gỡ định kỳ của Viện Công nghệ Blockchain và Trí tuệ Nhân tạo ABAII nhằm góp ý kiến hoàn thiện Quy chế Hội đồng Giảng viên (HĐGV), thảo luận về kế hoạch hoạt động và các trọng tâm giảng dạy, phổ cập Blockchain và AI trong thời gian tới.
15:00 | 19/07/2024
Microsoft vừa gặp sự cố lớn, khiến người dùng trên toàn thế giới không thể truy cập vào nền tảng đám mây của hãng. Đồng thời, nhiều hãng hàng không cũng phải huỷ chuyến bay.
Apple đã phát hành bản cập nhật iOS và iPadOS để giải quyết hai lỗ hổng bảo mật, một trong số đó để khắc phục lỗ hổng VoiceOver có thể làm lộ mật khẩu đã lưu của người dùng.
14:00 | 11/10/2024