GitLab แก้ไขช่องโหว่ความรุนแรงสูงในการยืนยันตัวตนแบบ SAML

GitLab ออกอัปเดตความปลอดภัยแก้ไขช่องโหว่ความรุนแรงสูงในการยืนยันตัวตนแบบ SAML ที่ส่งผลกระทบต่อ GitLab Community Edition (CE) และ Enterprise Edition (EE) แบบ self-managed

ช่องโหว่ดังกล่าวมีรหัส CVE-2024-45409 เกิดจากปัญหาใน OmniAuth-SAML และ Ruby-SAML ที่ GitLab ใช้จัดการการยืนยันตัวตนแบบ SAML โดยช่องโหว่นี้เกิดขึ้นเมื่อ SAML response ที่ส่งจาก identity provider (IdP) มายัง GitLab มีการตั้งค่าผิดพลาดหรือถูกปรับแต่ง ทำให้ผู้โจมตีสามารถสร้าง SAML response ที่เป็นอันตรายเพื่อหลอกให้ GitLab รับรองว่าผ่านการยืนยันตัวตนแล้ว ซึ่งเป็นการ bypass การยืนยันตัวตนแบบ SAML และเข้าถึง GitLab instance ได้

GitLab ได้แก้ไขช่องโหว่นี้ในเวอร์ชัน 17.3.3, 17.2.7, 17.1.8, 17.0.8 และ 16.11.10 โดยอัปเกรด OmniAuth SAML เป็นเวอร์ชัน 2.2.1 และ Ruby-SAML เป็น 1.17.0 บริษัทแนะนำให้ผู้ใช้งานอัปเกรดเป็นเวอร์ชันล่าสุดโดยเร็ว สำหรับผู้ที่ไม่สามารถอัปเกรดได้ทันที GitLab แนะนำให้เปิดใช้งานการยืนยันตัวตนแบบ 2-Factor authentication สำหรับทุกบัญชี และตั้งค่าตัวเลือก SAML 2FA bypass เป็น “do not allow”

ที่มา: https://www.bleepingcomputer.com/news/security/gitlab-releases-fix-for-critical-saml-authentication-bypass-flaw/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …