DevOps પ્લેટફોર્મ GitLab એ તેની કોમ્યુનિટી એડિશન (CE) અને એન્ટરપ્રાઇઝ એડિશન (EE) સોલ્યુશન્સમાં જોવા મળેલી ગંભીર-ગંભીરતાની ખામીને પેચ કરી છે, જે દૂષિત વપરાશકર્તાઓને પ્રતિબંધિત માહિતીની ઍક્સેસ આપી શકે છે.
“SAML પ્રમાણીકરણ બાયપાસ” તરીકે વર્ણવેલ ખામી, આ રીતે ટ્રૅક કરવામાં આવી છે CVE-2024-45409અને 10/10 નો સંપૂર્ણ ગંભીરતા સ્કોર ધરાવે છે. શોર્ટ એસર્સેશન માર્કઅપ લેંગ્વેજ (SAML), એક વેબ-આધારિત પ્રમાણીકરણ પ્રોટોકોલ છે, જે અન્ય બાબતોની સાથે, સિંગલ સાઇન-ઓન (SSO) સુવિધાની સુવિધા આપે છે.
એવું જાણવા મળ્યું હતું કે ryb-saml લાઇબ્રેરી SAML પ્રતિસાદની સહી યોગ્ય રીતે ચકાસી રહી નથી, જે ધમકી આપનારા કલાકારોને લૉગ ઇન કરવાની મંજૂરી આપે છે.
દુરુપયોગના કોઈ પુરાવા નથી
“કોઈપણ હસ્તાક્ષરિત SAML દસ્તાવેજ (આઈડીપી દ્વારા) ની ઍક્સેસ ધરાવતો અપ્રમાણિત હુમલાખોર આમ મનસ્વી સામગ્રીઓ સાથે SAML પ્રતિસાદ/વિધાન બનાવી શકે છે,” GitHub એ સુરક્ષા સલાહકારમાં સમજાવ્યું. “આ હુમલાખોરને સંવેદનશીલ સિસ્ટમમાં મનસ્વી વપરાશકર્તા તરીકે લૉગ ઇન કરવાની મંજૂરી આપશે.”
જેઓ સમાધાન વિશે ચિંતિત છે તેઓએ ખાતરી કરવી જોઈએ કે તેમના સમુદાય આવૃત્તિ અને એન્ટરપ્રાઇઝ એડિશન સોલ્યુશન્સ 17.3.3, 17.2.7, 17.1.8, 17.0.8 અને 16.11.10 સંસ્કરણોમાં અપગ્રેડ કરવામાં આવ્યા છે. જેઓ અત્યારે પેચ લાગુ કરવામાં અસમર્થ છે તેઓએ તમામ એકાઉન્ટ્સ માટે ટુ-ફેક્ટર ઓથેન્ટિકેશન (2FA) સક્ષમ કરવું જોઈએ અને SAML ટુ-ફેક્ટર બાયપાસ વિકલ્પને નામંજૂર કરવો જોઈએ.
જ્યારે GitHub એ સ્પષ્ટપણે જણાવ્યું નથી કે શું હજુ સુધી જંગલીમાં નબળાઈનો દુરુપયોગ કરવામાં આવ્યો હતો કે નહીં, સુરક્ષા સલાહકારમાં તેના શબ્દો કંઈક અંશે કહી રહ્યા છે. દસ્તાવેજમાં, જાળવણીકારોએ બંને સફળ અને અસફળ શોષણના પ્રયાસોને જોવાની વિગતો શેર કરી હતી, જે સૂચવે છે કે, બદમાશો પહેલેથી જ તેમનું નસીબ અજમાવી રહ્યા છે.
GitLab એ વેબ-આધારિત DevOps પ્લેટફોર્મ છે જે સંસ્કરણ નિયંત્રણ, સતત એકીકરણ/સતત ડિલિવરી (CI/CD), અને સોફ્ટવેર ડેવલપમેન્ટ લાઇફસાઇકલ મેનેજમેન્ટ માટે સાધનો પૂરા પાડે છે. તે ટીમોને કોડ, સ્વચાલિત પરીક્ષણ અને ડિપ્લોયમેન્ટ પ્રક્રિયાઓને સુવ્યવસ્થિત કરવામાં સહયોગ કરે છે અને તેના લાખો સક્રિય વપરાશકર્તાઓ છે. જેમ કે, તે તમામ પ્રકારના સાયબર અપરાધીઓ માટે હાઇ-પ્રોફાઇલ લક્ષ્ય છે.
વાયા હેકર સમાચાર
