GitLab publie des mises à jour de sécurité pour une vulnérabilité critique de contournement de l’authentification SAML

2024-09-19 02:54:54

GitLab a introduit des correctifs de sécurité pour corriger une faille importante de contournement de l’authentification SAML qui affecte les déploiements autogérés de GitLab Community Edition (CE) et Enterprise Edition (EE). SAML (Security Assertion Markup Language) est un protocole d’authentification à authentification unique (SSO) permettant aux utilisateurs de se connecter à différents services en utilisant des informations d’identification identiques. La vulnérabilité, cataloguée comme CVE-2024-45409provient de problèmes dans les bibliothèques OmniAuth-SAML et Ruby-SAML que GitLab utilise pour l’authentification basée sur SAML.

Cette vulnérabilité se produit lorsque la réponse SAML d’un fournisseur d’identité (IdP) à GitLab contient une mauvaise configuration ou a été falsifiée. La faille concerne spécifiquement la validation insuffisante des composants clés des assertions SAML, tels que l’extern_uid (ID utilisateur externe), utilisé pour identifier de manière unique un utilisateur sur différents systèmes. Un attaquant peut créer une réponse SAML malveillante qui trompe GitLab en le reconnaissant comme des utilisateurs authentifiés, en contournant l’authentification SAML et en accédant à l’instance GitLab.

Le CVE-2024-45409 La faille affecte GitLab 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10 et toutes les versions antérieures de ces branches. La vulnérabilité est résolue dans les versions 17.3.3, 17.2.7, 17.1.8, 17.0.8 et 16.11.10 de GitLab, où OmniAuth SAML a été mis à niveau vers la version 2.2.1 et Ruby-SAML vers la version 1.17.0. « Nous recommandons vivement que toutes les installations exécutant une version affectée par les problèmes décrits ci-dessous soient mises à niveau vers la dernière version dès que possible », a averti GitLab dans le bulletin.

GitLab a été contacté pour savoir s’ils avaient remarqué une exploitation active de CVE-2024-45409 dans la nature, mais une réponse est toujours attendue.

Dernières nouvelles



#GitLab #publie #des #mises #jour #sécurité #pour #une #vulnérabilité #critique #contournement #lauthentification #SAML
1726707885

Facebook
Twitter
LinkedIn
Pinterest

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.