Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: GitLab, CE ve EE Sürümlerindeki Kritik SAML Kimlik Doğrulama Baypas Açığını Düzeltiyor
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » GitLab, CE ve EE Sürümlerindeki Kritik SAML Kimlik Doğrulama Baypas Açığını Düzeltiyor

GenelSiber Güvenlik

GitLab, CE ve EE Sürümlerindeki Kritik SAML Kimlik Doğrulama Baypas Açığını Düzeltiyor

teknomers
Son güncelleme: 19 Eylül 2024 12:15
teknomers
Paylaş
Paylaş


19 Eylül 2024Ravie LakshmananKurumsal Güvenlik / DevOps

GitLab’da var piyasaya sürülmüş Community Edition (CE) ve Enterprise Edition’ı (EE) etkileyen ve kimlik doğrulama atlamasına yol açabilecek kritik bir hatayı gidermek için yamalar.

Güvenlik açığı, bir saldırganın güvenlik açığı bulunan sistemde keyfi bir kullanıcı olarak oturum açmasına izin verebilecek ruby-saml kitaplığında (CVE-2024-45409, CVSS puanı: 10.0) kök salmıştır. Geçtiğimiz hafta bakımcılar tarafından giderilmiştir.

Sorun, kütüphanenin SAML Yanıtının imzasını düzgün bir şekilde doğrulamamasından kaynaklanmaktadır. SAML, Güvenlik İddiası İşaretleme Dili’nin kısaltmasıdır ve birden fazla uygulama ve web sitesi arasında tek oturum açma (SSO) ve kimlik doğrulama ve yetkilendirme verilerinin değişimini sağlayan bir protokoldür.

“Kimlik Sağlayıcı tarafından imzalanmış herhangi bir SAML belgesine erişimi olan kimliği doğrulanmamış bir saldırgan, keyfi içeriklere sahip bir SAML Yanıtı/İddiası oluşturabilir, buna göre güvenlik uyarısı“Bu, saldırganın güvenlik açığı bulunan sistem içinde keyfi bir kullanıcı olarak oturum açmasına olanak tanır.”

Bu kusurun omniauth-saml’ı da etkilediğini belirtmekte fayda var. sevk edildi ruby-saml’ı 1.17 sürümüne yükseltmek için kendi güncellemesi (sürüm 2.2.1).

GitLab’ın son yaması, omniauth-saml bağımlılıklarını 2.2.1 sürümüne ve ruby-saml bağımlılıklarını 1.17.0 sürümüne güncellemek için tasarlandı. Bu sürümler 17.3.3, 17.2.7, 17.1.8, 17.0.8 ve 16.11.10 sürümlerini içeriyor.

GidLab, hafifletme önlemleri olarak, kendi kendine yönetilen kurulumların kullanıcılarını tüm hesaplar için iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmeye ve SAML iki faktörlü baypas seçenek.

GitLab, bu açığın yaygın olarak kullanıldığına dair hiçbir açıklama yapmasa da, bu açığın denendiğine veya başarılı olduğuna dair göstergeler sunarak, tehdit aktörlerinin bu açıklardan yararlanarak hassas GitLab örneklerine erişmeye çalıştığını öne sürüyor.

“Başarılı istismar girişimleri SAML ile ilgili günlük olaylarını tetikleyecektir,” dedi. “Başarılı bir istismar girişimi, istismar girişiminde bulunan saldırgan tarafından ayarlanan extern_id değerini günlüğe kaydedecektir.”

“Başarısız istismar girişimleri RubySaml kütüphanesinden bir ValidationError üretebilir. Bu, çalışan bir istismar oluşturmanın karmaşıklığıyla ilgili çeşitli nedenlerden dolayı olabilir.”

Gelişme, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA) eklendi Bilinen İstismar Edilen Güvenlik Açıklarına (beş güvenlik açığı)KEV) kataloğu, yakın zamanda açıklanan ve Apache HugeGraph-Server’ı etkileyen kritik bir hata (CVE-2024-27348, CVSS puanı: 9,8) dahil olmak üzere, aktif sömürüye dair kanıtlara dayanmaktadır.

Federal Sivil Yürütme Organı (FCEB) kurumlarına, ağlarını aktif tehditlere karşı korumak için tespit edilen güvenlik açıklarını 9 Ekim 2024 tarihine kadar gidermeleri önerildi.



siber-2

Erken Steam Deck önizlemeleri çıktı ve pil ömrü endişeye neden oluyor
Video Oyunu Oyuncuları, Müzakerelerin Başarısız Olması Halinde Greve İzin Vermek İçin Oy Kullandı
Google, Basit Değişiklikle Kullanıcı Hesabı Uzlaşmalarını Yarıya İndiriyor
Bugünün NYT Strands’ı — Cumartesi, 6 Temmuz için ipuçları, cevaplar ve spangram (oyun #125)
Google I/O: AlloyDB, PostgreSQL’i GCP ile birleştiriyor
ETİKETLENDİ:Açığınıağ güvenliğibaypasbilgi Güvenliğibilgisayar GüvenliğiDoğrulamaDüzeltiyorfidye yazılımı kötü amaçlı yazılımGitLabhack haberlerihacker haberleriKimlikKritiknasıl hacklenirSAMLsiber güncellemelersiber güvenlik güncellemelerisiber güvenlik haberleriSiber güvenlik haberleri bugünSiber Haberlersiber saldırılarSürümlerindekiveri ihlaliyazılım açığı
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Armored Core 6 Güncelleme 1.07, 19 Eylül’de Sunucu Durdurulması Sırasında Yayınlanacak
Sonraki Makale Samsung, One UI 6.1.1’i daha fazla cihaza genişletiyor: Galaxy S22, Z Flip 4 ve Z Fold 4

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Köpekbalıkları Zamanında Avlanmanın İpuçları ve Tüyoları
Oyun
Modder, orijinal PSP’de 60 FPS Counter-Strike klonu çalıştırdı
Donanım
Sotheby’s T. Rex Müzayedesi: Zenginlik Bilimi Tehdit Ediyor Mu?
Genel
Kritik: ABD, Ransomware Saldırılarını Destekleyen VPN ve Malware Sağlayıcılarına Yaptırım Uyguladı
Siber Güvenlik
Kritik: Grok Build, Tüm Git Depolarını xAI Depolama Alanına Yükledi
Siber Güvenlik
Pinwheel Çocuklar İçin Retro Tasarımlı Sabit Telefonunu Tanıttı
Genel
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?