Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: GitLab, CE ve EE Sürümlerindeki Kritik SAML Kimlik Doğrulama Baypas Açığını Düzeltiyor
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » GitLab, CE ve EE Sürümlerindeki Kritik SAML Kimlik Doğrulama Baypas Açığını Düzeltiyor

GenelSiber Güvenlik

GitLab, CE ve EE Sürümlerindeki Kritik SAML Kimlik Doğrulama Baypas Açığını Düzeltiyor

teknomers
Son güncelleme: 19 Eylül 2024 12:15
teknomers
Paylaş
Paylaş


19 Eylül 2024Ravie LakshmananKurumsal Güvenlik / DevOps

GitLab’da var piyasaya sürülmüş Community Edition (CE) ve Enterprise Edition’ı (EE) etkileyen ve kimlik doğrulama atlamasına yol açabilecek kritik bir hatayı gidermek için yamalar.

Güvenlik açığı, bir saldırganın güvenlik açığı bulunan sistemde keyfi bir kullanıcı olarak oturum açmasına izin verebilecek ruby-saml kitaplığında (CVE-2024-45409, CVSS puanı: 10.0) kök salmıştır. Geçtiğimiz hafta bakımcılar tarafından giderilmiştir.

Sorun, kütüphanenin SAML Yanıtının imzasını düzgün bir şekilde doğrulamamasından kaynaklanmaktadır. SAML, Güvenlik İddiası İşaretleme Dili’nin kısaltmasıdır ve birden fazla uygulama ve web sitesi arasında tek oturum açma (SSO) ve kimlik doğrulama ve yetkilendirme verilerinin değişimini sağlayan bir protokoldür.

“Kimlik Sağlayıcı tarafından imzalanmış herhangi bir SAML belgesine erişimi olan kimliği doğrulanmamış bir saldırgan, keyfi içeriklere sahip bir SAML Yanıtı/İddiası oluşturabilir, buna göre güvenlik uyarısı“Bu, saldırganın güvenlik açığı bulunan sistem içinde keyfi bir kullanıcı olarak oturum açmasına olanak tanır.”

Bu kusurun omniauth-saml’ı da etkilediğini belirtmekte fayda var. sevk edildi ruby-saml’ı 1.17 sürümüne yükseltmek için kendi güncellemesi (sürüm 2.2.1).

GitLab’ın son yaması, omniauth-saml bağımlılıklarını 2.2.1 sürümüne ve ruby-saml bağımlılıklarını 1.17.0 sürümüne güncellemek için tasarlandı. Bu sürümler 17.3.3, 17.2.7, 17.1.8, 17.0.8 ve 16.11.10 sürümlerini içeriyor.

GidLab, hafifletme önlemleri olarak, kendi kendine yönetilen kurulumların kullanıcılarını tüm hesaplar için iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmeye ve SAML iki faktörlü baypas seçenek.

GitLab, bu açığın yaygın olarak kullanıldığına dair hiçbir açıklama yapmasa da, bu açığın denendiğine veya başarılı olduğuna dair göstergeler sunarak, tehdit aktörlerinin bu açıklardan yararlanarak hassas GitLab örneklerine erişmeye çalıştığını öne sürüyor.

“Başarılı istismar girişimleri SAML ile ilgili günlük olaylarını tetikleyecektir,” dedi. “Başarılı bir istismar girişimi, istismar girişiminde bulunan saldırgan tarafından ayarlanan extern_id değerini günlüğe kaydedecektir.”

“Başarısız istismar girişimleri RubySaml kütüphanesinden bir ValidationError üretebilir. Bu, çalışan bir istismar oluşturmanın karmaşıklığıyla ilgili çeşitli nedenlerden dolayı olabilir.”

Gelişme, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) eklendi Bilinen İstismar Edilen Güvenlik Açıklarına (beş güvenlik açığı)KEV) kataloğu, yakın zamanda açıklanan ve Apache HugeGraph-Server’ı etkileyen kritik bir hata (CVE-2024-27348, CVSS puanı: 9,8) dahil olmak üzere, aktif sömürüye dair kanıtlara dayanmaktadır.

Federal Sivil Yürütme Organı (FCEB) kurumlarına, ağlarını aktif tehditlere karşı korumak için tespit edilen güvenlik açıklarını 9 Ekim 2024 tarihine kadar gidermeleri önerildi.



siber-2

Quordle bugün – 9 Eylül Pazartesi için ipuçları ve cevaplar (oyun #959)
OnePlus Nord CE 2 Lite son Android 13’ü aldı
ESN’ler ve ICT’ler için temel bir büyüme vektörü olan bulut
Yeni Roku TV’ler şaşırtıcı derecede ucuz
Rusya’da “paralel” Kia fiyatları düştü. Kia Sportage, amiral gemisi Kia K9 ve Kia KX3 (Seltos) daha uygun fiyatlı hale geldi
ETİKETLENDİ:Açığınıağ güvenliğibaypasbilgi Güvenliğibilgisayar GüvenliğiDoğrulamaDüzeltiyorfidye yazılımı kötü amaçlı yazılımGitLabhack haberlerihacker haberleriKimlikKritiknasıl hacklenirSAMLsiber güncellemelersiber güvenlik güncellemelerisiber güvenlik haberleriSiber güvenlik haberleri bugünSiber Haberlersiber saldırılarSürümlerindekiveri ihlaliyazılım açığı
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Armored Core 6 Güncelleme 1.07, 19 Eylül’de Sunucu Durdurulması Sırasında Yayınlanacak
Sonraki Makale Samsung, One UI 6.1.1’i daha fazla cihaza genişletiyor: Galaxy S22, Z Flip 4 ve Z Fold 4

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Kritik: ABD, Ransomware Saldırılarını Destekleyen VPN ve Malware Sağlayıcılarına Yaptırım Uyguladı
Siber Güvenlik
Kritik: Grok Build, Tüm Git Depolarını xAI Depolama Alanına Yükledi
Siber Güvenlik
Pinwheel Çocuklar İçin Retro Tasarımlı Sabit Telefonunu Tanıttı
Genel
PlayStation Black Ops Limanları Yeni Bir Deneyim Sunuyor
Oyun
New York Veri Merkezi Moratoryumu ile Tarih Yazıyor
Liste
Eski IDE optik sürücülerinizi bağımsız ses çalar yapın – 190$
Donanım
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?