SAML là giao thức xác thực đăng nhập một lần (SSO) cho phép người dùng đăng nhập trên nhiều dịch vụ khác nhau bằng cùng một thông tin đăng nhập.
Lỗ hổng được theo dõi có mã định danh CVE-2024-45409 (điểm CVSS: 10,0), xuất phát từ sự cố trong thư viện OmniAuth-SAML và Ruby-SAML mà GitLab sử dụng để xử lý xác thực dựa trên SAML. Lỗ hổng bảo mật này xảy ra khi phản hồi SAML do nhà cung cấp danh tính (IdP) gửi tới GitLab có cấu hình sai hoặc bị xâm phạm.
Cụ thể, lỗ hổng liên quan đến việc xác thực không đầy đủ các thành phần chính trong SAML assertions, chẳng hạn như extern_uid (ID người dùng bên ngoài), được sử dụng để xác định duy nhất người dùng trên các hệ thống khác nhau.
Kẻ tấn công có thể tạo ra phản hồi SAML độc hại để đánh lừa GitLab nhận ra họ là người dùng đã xác thực, bỏ qua xác thực SAML và giành quyền truy cập vào phiên bản GitLab.
Lỗ hổng CVE-2024-45409 đã được giải quyết trong GitLab phiên bản 17.3.3, 17.2.7, 17.1.8, 17.0.8 và 16.11.10, trong đó OmniAuth SAML được nâng cấp lên phiên bản 2.2.1 và Ruby-SAML lên 1.17.0.
Người dùng phiên bản GitLab Dedicated trên GitLab.com không cần thực hiện hành động nào vì sự cố này chỉ ảnh hưởng đến các cài đặt tự quản lý.
Để giảm thiểu rủi ro, GitLab khuyến nghị người dùng bật xác thực hai yếu tố (2FA) cho tất cả tài khoản và đặt tùy chọn bỏ qua SAML 2FA thành “do not allow”.
Trong một diễn biến khác, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm 5 lỗ hổng bảo mật vào danh mục Các lỗ hổng đã khai thác được biết đến (KEV), bao gồm một lỗi nghiêm trọng mới được tiết lộ ảnh hưởng đến Apache HugeGraph-Server (CVE-2024-27348, điểm CVSS: 9,8), dựa trên bằng chứng về việc khai thác đang diễn ra.
Hồng Đạt
(Tổng hợp)
08:00 | 22/07/2024
09:00 | 11/10/2024
13:00 | 12/06/2024
10:00 | 18/10/2024
12:00 | 06/05/2024
12:00 | 03/10/2024
Ngày 30/9, Adobe chính thức ra mắt tính năng hỗ trợ tiếng Việt dành cho phần mềm Photoshop trên máy tính, giúp người dùng Việt thỏa sức sáng tạo mà không gặp trở ngại về ngôn ngữ.
10:00 | 01/10/2024
Trong cuộc gặp với Tổng Bí thư, Chủ tịch nước Tô Lâm tại New York vào ngày 25/9, Tim Hughes, Phó Chủ tịch cấp cao của SpaceX, tập đoàn hàng đầu thế giới cung cấp dịch vụ tàu vũ trụ, phóng vệ tinh và truyền thông vệ tinh đã đánh giá cao tiềm năng phát triển dịch vụ Internet vệ tinh tại Việt Nam và cho biết dự định đầu tư 1,5 tỷ USD vào Việt Nam trong thời gian tới.
16:00 | 19/09/2024
Theo thông tin của Wall Street, một số dữ liệu của Walt Disney bao gồm thông tin tài chính và chiến lược, cũng như thông tin nhận dạng cá nhân của một số nhân viên và khách hàng đã bị rò rỉ trực tuyến.
16:00 | 13/09/2024
Microsoft đã phát hành bản vá bảo mật Patch Tuesday tháng 9/2024 để giải quyết 79 lỗ hổng, bao gồm 04 lỗ hổng zero-day đang bị khai thác trong thực tế, một trong số đó đã được tiết lộ công khai.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Microsoft thông báo đã chính thức ngừng sử dụng giao thức PPTP (Point-to-Point Tunneling Protocol) và giao thức L2TP (Layer 2 Tunneling Protocol) trong các phiên bản Windows Server tương lai, khuyến nghị quản trị viên chuyển sang các giao thức khác có khả năng bảo mật cao hơn.
10:00 | 18/10/2024
