GitLab は、CE と EE における 2 つの重大な認証バイパスの欠陥に対処しました。
この欠陥は、SAML 応答や対象組織の目的のアサーションを検証するために認証キーが使用されず、インスタンス レベルで SAML SSO 認証を可能にする Ruby-Saml ライブラリで発見されました。
製品を更新できないお客様は、2 要素認証を有効にし、SAML 2 要素バイパスを無効にする必要があります。
特に、すべての製品にはすでにセキュリティ アップデートがパッチされています。
報告によると、明示的に明示された脆弱性 – 報告によると (EE) バージョン 17.7.7.2/8.0 の顧客で影響を受けるユーザーは GiT Lab Security によって自動的に更新されます。
両方のケースに影響を与えるのは、この問題で明らかになった主観的な問題です。
影響を受けないバージョン (ion_security warninge[すべてのバージョンに適用されるこのバグ機能に基づいてリリースされたバグのあるバージョンからセキュリティ監査証跡が閉じられるため、継続するための感情的な脆弱性) Gitagorous コード インターフェイス経由で発行された脆弱なセクションは、コミュニティ エディション内で利用可能な Gitigator のクロス確率アクセス制御機能を通じて有効になりました。
ただし、17/7.8 および 17.7.8 リリース パッチも修正され、オンラインで公開されており、現在オープン ソース プロジェクトのステータスはまだ公開されていないため、後でリリースされる予定です)。
コメント