Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • GitLab corrige un error crítico de omisión de autenticación SAML en las ediciones CE y EE
  • Tecnología

GitLab corrige un error crítico de omisión de autenticación SAML en las ediciones CE y EE

teknomers 19 de Eylül de 2024 (Last updated: 19 de Eylül de 2024) 3 minutes read
GitLab corrige un error crítico de omisión de autenticación SAML


19 de septiembre de 2024Ravie LakshmananSeguridad empresarial / DevOps

GitLab tiene liberado Parches para solucionar una falla crítica que afecta a Community Edition (CE) y Enterprise Edition (EE) y que podría provocar una omisión de autenticación.

La vulnerabilidad se origina en la biblioteca Ruby-saml (CVE-2024-45409, puntuación CVSS: 10.0), que podría permitir a un atacante iniciar sesión como un usuario arbitrario dentro del sistema vulnerable. Los encargados del mantenimiento solucionaron el problema la semana pasada.

El problema es que la biblioteca no verifica correctamente la firma de la respuesta SAML. SAML, abreviatura de Security Assertion Markup Language, es un protocolo que permite el inicio de sesión único (SSO) y el intercambio de datos de autenticación y autorización entre varias aplicaciones y sitios web.

“Un atacante no autenticado con acceso a cualquier documento SAML firmado (por el IdP) puede así falsificar una Respuesta/Afirmación SAML con contenido arbitrario, de acuerdo con un Aviso de seguridad“Esto permitiría al atacante iniciar sesión como un usuario arbitrario dentro del sistema vulnerable”.

Vale la pena señalar que la falla también afecta a omniauth-saml, que enviado una actualización propia (versión 2.2.1) para actualizar ruby-saml a la versión 1.17.

El último parche de GitLab está diseñado para actualizar las dependencias omniauth-saml a la versión 2.2.1 y ruby-saml a la 1.17.0. Esto incluye las versiones 17.3.3, 17.2.7, 17.1.8, 17.0.8 y 16.11.10.

Como mitigación, GitLab insta a los usuarios de instalaciones autoadministradas a habilitar la autenticación de dos factores (2FA) para todas las cuentas y prohibir la Omisión de dos factores de SAML opción.

Ciberseguridad

GitLab no menciona que la falla esté siendo explotada en la naturaleza, pero ha proporcionado indicadores de intentos de explotación exitosos, lo que sugiere que los actores de amenazas pueden estar tratando activamente de capitalizar las deficiencias para obtener acceso a instancias susceptibles de GitLab.

“Los intentos de explotación exitosos activarán eventos de registro relacionados con SAML”, afirmó. “Un intento de explotación exitoso registrará cualquier valor de extern_id que haya establecido el atacante que intenta explotar el código”.

“Los intentos de explotación fallidos pueden generar un ValidationError de la biblioteca RubySaml. Esto podría deberse a una variedad de razones relacionadas con la complejidad de crear un exploit que funcione”.

El desarrollo se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregado cinco fallos de seguridad en sus vulnerabilidades explotadas conocidas (KEV), incluido un error crítico recientemente revelado que afecta a Apache HugeGraph-Server (CVE-2024-27348, puntuación CVSS: 9,8), basado en evidencia de explotación activa.

Se ha recomendado a las agencias del Poder Ejecutivo Civil Federal (FCEB) que remedien las vulnerabilidades identificadas antes del 9 de octubre de 2024, para proteger sus redes contra amenazas activas.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: La Lotería Nacional se cae y cientos de personas no pueden acceder a la aplicación solo horas antes de los resultados del premio mayor
Next: De Rossi también se marcha: otro malentendido en el proyecto de la Roma

Related Stories

Meta AI: alerta parental si un adolescente habla de suicidio
  • Tecnología

Meta AI: alerta parental si un adolescente habla de suicidio

teknomers 16 de Temmuz de 2026
Microsoft corrige una vulnerabilidad de Secure Boot que pasó desapercibida
  • Tecnología

Microsoft corrige una vulnerabilidad de Secure Boot que pasó desapercibida durante más de diez años

teknomers 16 de Temmuz de 2026
Galaxy S26 Ultra: usuarios reportan un preocupante defecto de pantalla
  • Tecnología

Galaxy S26 Ultra: usuarios reportan un preocupante defecto de pantalla

teknomers 16 de Temmuz de 2026

You May Have Missed

«Un minuto de silencio por Inglaterra que ha muerto»: el
  • Deporte

«Un minuto de silencio por Inglaterra que ha muerto»: el vacile del vestuario argentino tras la victoria en semifinales.

teknomers 16 de Temmuz de 2026
  • Cultura

«Eso hace brillar nuestra cultura»: cómo la K-pop permite que Corea relance su artesanía y su folclore.

teknomers 16 de Temmuz de 2026
Meta AI: alerta parental si un adolescente habla de suicidio
  • Tecnología

Meta AI: alerta parental si un adolescente habla de suicidio

teknomers 16 de Temmuz de 2026
Calor veraniego: un aumento del riesgo de suicidio entre los
  • salud

Calor veraniego: un aumento del riesgo de suicidio entre los 15 y 24 años

teknomers 16 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.