Gitlab heeft negen kwetsbaarheden gepatcht in nieuwe beveiligingsupdates.
GitLab heeft twee beveiligingsupdates uitgebracht voor de Community Edition (CE) en Enterprise Edition (EE). Daarmee zijn negen kwetsbaarheden opgelost. Twee daarvan waren kritieke fouten in de ruby-saml-bibliotheek die gebruikt wordt voor SAML Single Sign-On. SAML is een open standaard die gebruikt wordt om authenticatiegegevens te delen tussen verschillende partijen.
Kritieke kwetsbaarheden in SAML-authenticatie
Door de fouten in de ruby-saml-bibliotheek kan een aanvaller zich voordoen als een andere gebruiker binnen een SAML Identity Provider (IdP)-omgeving. Dat zorgt voor ongeautoriseerde toegang en mogelijke datalekken.
Github benadrukt dat hun platform niet getroffen is, omdat het sinds 2014 ruby-saml niet meer gebruikt. De kwetsbaarheid was wel aanwezig in andere software zoals GitLab. Intussen zijn die kwetsbaarheden opgelost in GitLab CE/EE-versie 17.7.7, 17.8.5, 17.9.2, de webversie en GitLab Dedicated. Gebruikers met eigen installaties moeten de update handmatig uitvoeren.
“Wij raden ten zeerste aan om alle installaties met een versie die last heeft van de hieronder beschreven problemen zo snel mogelijk te upgraden naar de nieuwste versie”, benadrukt GitLab in een blog.
lees ook