Kritische Sicherheitslücke in SAML-Anmeldung bedroht Gitlab-Server

Dringende Aufforderung für Admins


Die Administratoren selbst gehosteter Gitlab-Instanzen stehen unter Druck. Sie sollten ihre Server umgehend aktualisieren. Eine „kritische“ Sicherheitslücke ermöglicht möglicherweise unauthorisierte Zugriffe ohne vorherige Anmeldung.



Details zur Sicherheitslücke


Die Entwickler warnen - Cloud-Instanzen von Gitlab sind bereits geschützt. Diese Schwachstelle mit der Nummer CVE-2024-45409 erzielt die Höchstbewertung von 10 auf der CVSS-Skala. Betroffen sind jedoch nur Systeme, die welche SAML-Authentifizierung nutzen. Angreifer könnten in diesen Fällen die Anmeldung umgehen.



Das zugrunde liegende Problem liegt in der Ruby-SAML-Bibliothek. In bestimmten Versionen werden Signaturen von SAML-Antworten nicht korrekt geprüft. Bei Zugriff auf ein signiertes SAML-Dokument haben Angreifer die Möglichkeit, Antworten zu fälschen.



Empfohlene Schutzmaßnahmen


Die kritische Einstufung führt zu einer alarmierenden Schlussfolgerung. Systeme sind dadurch als vollständig kompromittiert zu betrachten. Gitlab-Entwickler empfehlen deshalb dringend ein sofortiges Update. Sollte ein sofortiges Update nicht möglich sein, müssen Administratoren alternative Schutzmaßnahmen berücksichtigen.



Hierfür ist es entscheidend, für alle Nutzerkonten die Zwei-Faktor-Authentifizierung von Gitlab zu aktivieren. Gleichzeitig muss die Option „SAML two-factor bypass“ deaktiviert bleiben.



Abgesicherte Versionen

Die Entwickler klären darüber auf, dass folgende Versionen gegen die bekannte Attacke gewappnet sind:



- 16.11.10
- 17.0.8
- 17.1.8
- 17.2.7
- 17.3.3

Überprüfung auf Angriffe


Administrator*innen können prüfen, ob ihre Systeme bereits angegriffen wurden. In den Logdateien • ebenso wie zum Beispiel application_json und auth_json • sollte nach verdächtigen Einträgen gesucht werden. Darüber hinaus finden sie weitere Hinweise in der offiziellen Warnmeldung. Gitlab stellt zudem Erkennungsregeln im Sigma-Format zur Verfügung.



Rückblick auf Sicherheitspatches


Es ist erwähnenswert, dass die Entwickler von Gitlab erst vor einer Woche eine Vielzahl von Sicherheitspatches veröffentlicht haben. Der Handlungsbedarf ist klar.






Kommentare


Anzeige