The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в GitLab

19.09.2024 22:15

Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab - 17.3.3, 17.2.6 и 17.1.8, в которых устранена критическая уязвимость, позволяющая обойти аутентификацию на базе SAML (Security Assertion Markup Language). Проблема вызвана уязвимостью (CVE-2024-45409) в Ruby-библиотеках ruby-saml и omniauth-saml, реализующих клиентскую часть SAML-авторизации. Уязвимости присвоен максимальный уровень опасности 10 из 10. Проблема устранена в обновлениях пакетов ruby-saml (1.17.0 и 1.12.3) и omniauth-saml (2.2.0).

Уязвимость вызвана некорректной обработкой селектора XPath, приводящей к неверной проверке подписи в формате XML при разборе ответа от SAML-сервера. Неаутентифицированный атакующий, имеющий доступ к любому подписанному SAML-документу, может подделать любой ответ SAML для произвольного содержимого при помощи типовой атаки XSW (XML Signature Wrapping).

Суть атаки в том, чтобы взять корректно подписанное сообщение и добавить в связанный с ним XML-документ дополнительное фиктивное сообщение, используя в нём тот же идентификатор, что и у первого сообщения (данный идентификатор будет верифицирован при разборе первого сообщения и из-за ошибки будет воспринят как верифицированный и для второго сообщения). В контексте сервисов, использующих SAML для авторизации, уязвимость позволяет подключиться к системе под любым пользователем.

  1. Главная ссылка к новости (https://about.gitlab.com/relea...)
  2. OpenNews: Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML
  3. OpenNews: Обход верификации в библиотеке xml-crypto, насчитывающей миллион загрузок в неделю
  4. OpenNews: Уязвимость в GitHub Enterprise Server, дающая права администратора без аутентификации
  5. OpenNews: GitLab рассматривает возможность продажи бизнеса
  6. OpenNews: 17 уязвимостей в GitLab
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61893-gitlab
Ключевые слова: gitlab, saml, ruby
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (14) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.4, penetrator (?), 00:00, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    уже вышел 17.4.0

    по умолчанию SAML выключен

     
  • 1.5, Аноним (5), 02:15, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    tl;dr

    > Ignore Postel. When it comes to processing cryptographic signatures, loosey-goosey isn’t “liberal”, it’s libertine.

     
  • 1.9, Аноним (9), 06:50, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Самая большая ошибка гитлаба состоит в том, что у них есть руби в стеке.
     
     
  • 2.16, Аноним (16), 13:47, 20/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    На Руби вообще много чего полностью или частично написано. GitHub, AirBnb, Twitter, Kickstarter, etc. А уязвимости есть в библиотеках на любых языках.
     
     
  • 3.17, Аноним (17), 14:06, 20/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    в твиттере руби давно нет.
     
     
  • 4.27, Аноним (27), 11:11, 23/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Есть ли какое-то доказательство этому? Пруфлинк, например.
     
  • 3.25, Бывалый Смузихлёб (ok), 12:24, 21/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > AirBnb

    Оно и на Реакт-Натив писало. Но с заморочками уровня джавы вроде всё размазывать по отдельным файлам и каталогам разной вложенности. В итоге, со своими "рекомендациями" по типизации и ограничениям настолько свой проект перегрузили, что он стал совершенно неподдерживаемым даже исходной командой и они тупо свалили на несколько различных проектов и разбились на несколько команд.
    Хотя их убогий проект не подразумевал большой производительности( как игра, где было бы реально вспомнить про игровые движки ) или чего-то ещё.
    Там совершенно примитивнейшая бизнес-работа( аля банальные "бинес-приложения" с формами и кнопками ), которое с их "ценными советами"(тм)
    оказалось перегружено до полной неподдерживаемости

    И теперь иной анон подобную мусорную контору показывает в качестве примера ?)

     
     
  • 4.28, Аноним (27), 11:22, 23/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > убогий проект

    Вообще-то AirBnb - проект успешный и многомилионный. Твои попытки его залажать довольно смешны. Ты может когда-нибудь создал проект такого масштаба? Сомневаюсь что-то.

     
     
  • 5.29, Бывалый Смузихлёб (ok), 14:19, 24/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще-то AirBnb - проект успешный и многомилионный. Твои попытки его залажать довольно
    > смешны. Ты может когда-нибудь создал проект такого масштаба? Сомневаюсь что-то.

    Он условно-успешный, но не касательно ИТ - у него по сути иная ниша, связанная с арендой. Но с подобным успехом оно бы и через аналог авито или  яндекс-недвижимость работало бы. Регулярные отсылки у него к конкретным технологиям тупо не имеют смысла.

    Условно и прочее - т.к, учитывая его "славный" кидок пользователей РФ( а ведь эта свинья даже предоплаты за жильё не захотела возвращать как минимум абсолютному большинству ) - ничего хорошего про это упоминать невозможно. Как и про любого иного серийного вора и жулика, кинувшего простых людей на десятки-сотни кило рублей. Запланировал отпуск, оплатил жильё. "Извините, но идите в ж*, мы сливаемся, ни копейки вам не вернём, хотя ничего за них не сделали но и арендодателю не передали, т.е тупо положили себе в карман"

     

  • 1.11, Аноним (-), 09:24, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Гитлаб шикарная замена гитхаба! А главное свободная!" говорили они)))

    Предыдущая новость про уязвимости была 12.09.2024
    Там наверное такой классный код, что можно каждую неделю что-то находить :)

     
     
  • 2.23, Аноним (23), 22:03, 20/09/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Для любителей Microsuxx'а вон там кто-то запилил новую версию microsuxx captcha'и, докажи что ты не робот, отпаравь смску^W^W нажми Win+R :)) https://www.opennet.ru/openforum/vsluhforumID3/134858.html

    При том видимо на гитхабе и винде остались совсем уж овощи, раз ТАКОЕ еще и работает.

     

  • 1.12, Аноним (12), 11:07, 20/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Так уязвимость не в GitLab а библиотеке, которую они использую. В новом выпуске положили свежую либу... К коду GitLab это отношении не имеет.
     
     
  • 2.13, Аноним (13), 11:16, 20/09/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не виноватые мы уязвимости сами пришли. А то что мы за деньжищи продаём дырявый продукт так это мы не виноваты...а вы виноваты что им пользуетесь...
     

  • 1.24, Аниним (?), 09:52, 21/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну вот вам, нормальная уязвимость здорового человека: поправил запрос и залогинился в любого пользователя. Сохраню в коллекцию чтобы потом знатокам всяким совать. Сасибо опенет!
     
  • 1.26, Аноним (26), 12:25, 21/09/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Обновления вышли и для 17.0.8, 16.11.10. Не что, почему в новости об этом не указано
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру