image

GitLab verhelpt kritieke SAML authentication bypass in oudere versies

donderdag 26 september 2024, 10:32 door Redactie, 0 reacties

De populaire online DevOps-tool GitLab heeft een beveiligingsupdate voor een kritieke SAML authentication bypass, waardoor aanvallers toegang tot GitLabs-accounts kunnen krijgen, ook voor oudere versies van de software beschikbaar gemaakt. Organisaties kunnen GitLab op hun eigen server of servers installeren. Via de kwetsbaarheid (CVE-2024-45409) is het mogelijk voor een aanvaller om de authenticatie te omzeilen en zo toegang tot een GitLab-account te krijgen.

Voorwaarde voor misbruik is wel dat voor GitLab-instances SAML-gebaseerde authenticatie is ingeschakeld. SAML staat voor Security Assertion Markup Language en is een standaard om authenticatie- en autorisatiegegevens tussen domeinen uit te wisselen. De impact van van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.

Het probleem is aanwezig in zowel de GitLab Community Edition (CE) als de Enterprise Edition (EE). GitLab kwam vorige week met beveiligingsupdates voor versies 17.3.3, 17.2.7, 17.1.8, 17.0.8 en 16.11.10. De patch is nu ook gebackport naar oudere versies. Gebruikers van een oudere versie kunnen updaten naar versie 16.10.10, 16.9.11, 16.8.10, 16.7.10, 16.6.10, 16.5.10, 16.4.7, 16.3.9, 16.2.11, 16.1.8 of 16.0.10. GitLab roept organisaties en beheerders op om zo snel mogelijk naar de laatste versie te updaten.

Nog geen reacties
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.