极狐GitLab 重要安全版本:17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10
GitLab 是一个举世知名的一体化 DevOps 平台,很多人都通过私有化摆设 GitLab 来进行源代码托管。极狐GitLab 是 GitLab 在中国的发行版,专门为中国程序员服务。可以一键式摆设极狐GitLab。学习极狐GitLab 的相关资料:
[*]极狐GitLab 官网
[*]极狐GitLab 官网文档
[*]极狐GitLab 论坛
[*]极狐GitLab 安装设置
本分分享更多关于极狐GitLab 重要安全版本 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10 的详情内容。
https://i-blog.csdnimg.cn/direct/f4caa07db7fa4a1bb49086bdfa6fce6d.png
本日我们正式发布了极狐GitLab 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10 版本。该版本包含了重要的缺陷和安全修复,我们剧烈发起全部的私有化摆设用户应立刻升级到上述保举的某一个版本。对于极狐GitLab SaaS(JihuLab.com)来讲,专业的技能团队已经进行了升级。
发起操作
我们剧烈发起全部运行以下形貌问题所影响的版本应尽快升级到最新版本。
假如没有指明极狐GitLab 特定的摆设类型(ominbus、源代码、helm chart 等),那也就意味着全部的类型都受影响。
安全修复
安全修复表
标题严重性SAML 认证绕过严重 SAML 认证绕过(SAML authentication bypass)毛病是由 Ruby SAML 库引起的,对应的毛病 ID为 CVE-2024-45409。将依靠 omniauth-saml升级到 2.2.1、ruby-saml升级到 1.17.0就可以或许
减轻 CVE-2024-45409 毛病带来的安全危害。
私有化摆设版本:已知的缓解措施
以下针对私有化摆设的减缓措施可以或许成功制止实例受到 CVE-2024-45409 毛病带来的攻击:
[*]为极狐GitLab 私有化摆设实例上的全部效户开启双因素认证(注意:开启身份识别供应商提供的多因素认证并不能减缓该毛病带来的安全危害)以及
[*]不允许在极狐GitLab 中使用 SAML 双因素认证绕过选项
私有化摆设实例:识别和检测该毛病的利用尝试
尝试或成功利用 Ruby-SAML (CVE-2024-45409) 的证据将出如今 GitLab 的 application_json 和 auth_json 日记文件中。
未成功的利用尝试——捕获
未成功的利用尝试大概会从 RubySaml库产生一个 ValidationError信息。这大概是由于构造一个有效利用程序的复杂性所导致的各种缘故原由。
下面展示了两个示例,但是错误大概以其他形貌的情势出现,要在 application_json 日记文件中搜索常见的字符串 RubySaml::ValidationError。
[*]由于不正确的回调 URL 而导致单子(ticket)无效;
a. 日记变乱示例:
b. {"severity":"ERROR","time":"2024-xx-xx","correlation_id":"xx","message":"(saml) Authentication failure! invalid_ticket: OneLogin::RubySaml::ValidationError, The response was received at https://domain.com/users/auth/saml/incorrect_callback instead of https://domain.com/users/auth/saml/callback"}
[*]由于证书签名问题而导致的单子(ticket)无效;
a. 日记变乱示例
b. "message":"(saml) Authentication failure! invalid_ticket: OneLogin::RubySaml::ValidationError, Fingerprint mismatch"
成功的利用尝试——捕获
成功地利用尝试将会触发与 SAML 相关的日记变乱。然而,要将正常合法的 SAML 认证变乱和毛病利用尝试成功的变乱区别开来是非常有难度的。
成功的利用尝试将纪录攻击者在尝试利用时设置的任何 extern_id 值。因此,识别一个在你的组织中不常见的唯一 extern_uid 大概是潜在利用的指示信号。
[*]在 application_json 日记文件中的示例利用认证变乱,此中 extern_id 在利用 PoC 代码中被设置:
a. 日记变乱
b. {"severity":"INFO","time":"2024-xx-xx","correlation_id":"xx","meta.caller_id":"OmniauthCallbacksController#saml","meta.remote_ip":"0.0.0.0","meta.feature_category":"system_access","meta.client_id":"ip/0.0.0.0","message":"(SAML) saving user exploit-test-user@domain.com from login with admin =\\u003e false, extern_uid =\\u003e exploit-test-user"}
在构造利用程序时,攻击者需要制作许多 SAML 断言以完善复制合法登录。这些断言包括你在身份提供者(IdP)处指定的密钥和值字段,且这些字段大概对未经授权的人员未知——尤其是当你自定义了这些属性时。
你可以检察 auth_json 日记文件,以查找属性部分中信息不正确或缺失的 SAML 相应。
[*]在 auth_json 日记文件中的 SAML authentication 变乱示例
a. "severity":"INFO","time":"2024-xx-xx","correlation_id":"xx","meta.caller_id":"OmniauthCallbacksController#saml","meta.remote_ip":"0.0.0.0","meta.feature_category":"system_access","meta.client_id":"ip/0.0.0.0","payload_type":"saml_response": {"issuer": ["xxx"],"name_id": "xxx","name_id_format": "xxx","name_id_spnamequalifier": null,"name_id_namequalifier": null,"destination": "xxx","audiences": ["xxx"],"attributes": {"first_name": ["xxx"],"last_name": ["yyy"], "email": ["zzz"]}}
对于私有化摆设的客户,可以将极狐GitLab 的 application_json 日记转发到 SIEM,可以创建检测规则以识别 Ruby-SAML (CVE-2024-45409) 利用尝试。我们的团队提供了两条用 Sigma 格式编写的威胁检测规则,以检测潜在的利用行为。
注意:这些检测规则大概需要根据客户的环境进行调整和修改,以提供有效的结果。由于差别客户环境的设置各异,客户应验证这些检测规则识别的变乱的合法性和准确性。
一段时间内具有多个唯一 extern_uid 的用户
此检测旨在识别具有多个 extern_uid 值与认证变乱相关联的已认证 SAML 用户,这大概是攻击者设置了 extern_uid 字段的恶意认证的潜在迹象。
title: Multiple extern_ids
description: Detects when their are multiple extern_id's associated with a user.
author: Gitlab Security Engineering
date: 09/15/2024
schedule: "*/10 * * * *"
pseudocode: |
select log source application.log
where 7d < event_time < now()
where severity="INFO" and meta_caller_id="Groups::OmniauthCallbacksController#group_saml"
regex(message, "saving user (?<user_email>\S+) .*extern_uid \S+ (?<extern_id>[\S]+)")
count extern_id by user_email as total_extern_ids
where total_extern_ids > 1
verify: Review Gitlab application logs for the source IP of the SAML authentications. If there is a singular IP for all extern_ids this could point to a false positive. Cross reference the SAML authentication source IP/s with the known user's IP from sso authentication logs.
tuning: N/A
在一段时间内,同一用户的 GitLab SAML 认证与其他身份提供者(IdP)变乱的 IP 地址差别
此检测旨在关联用户的认证变乱,比力 GitLab SAML 认证变乱与其他身份提供者(IdP)的认证变乱,以识别用户 IP 地址的任何变化,这大概是攻击者认证会话的迹象。
title: Gitlab SAML IP differs from SSO IP
description: Detects when the source IP for the SAML authentication to Gitlab from application.log differs from the users known IP from SSO MFA logs.
author: Gitlab Security Engineering
date: 09/15/2024
schedule: "*/10 * * * *"
pseudocode: |
select log source application.log
where severity="INFO" and meta_caller_id="Groups::OmniauthCallbacksController#group_saml"
regex(message, "saving user (?<user_email>\S+) ")
#Create sub-query to bring in table from SSO authentication data
select meta_remote_ip, user_email
where user_email in
(
select log source authentication
where 1d < event_time < now()
where event_type="user.authentication.auth_via_mfa"
group by user_email, sso_source_ip
)
where sso_source_ip!=meta_remote_ip
verify: False positives can arise when the user is traveling. Review SSO authentication logs to see if the geo-location is similar to the SAML authentication to Gitlab. If any discrepancies are found, reach out to the user for verification. If the user is not traveling, temporarily lock the user's Gitlab account and review their activity through Gitlab's application logs.
tuning: If the query is producing high false positives, consider using
修复的缺陷
17.3.3
[*]升级了 OpenSSL 3 的升级告警说明
[*]升级了极狐GitLab 备份命令的 gem bundler
[*]升级了 ruby-saml 和 omniauth-saml
17.2.7
[*]升级了 OpenSSL 3 的升级告警说明
[*]升级了 ruby-saml 和 omniauth-saml
17.1.8
[*]升级了 OpenSSL 3 的升级告警说明
[*]升级了 ruby-saml 和 omniauth-saml
17.0.8
[*]升级了 ruby-saml 和 omniauth-saml
16.11.10
[*]升级了 ruby-saml 和 omniauth-saml
关于极狐GitLab 的安装升级以及 GitLab 升级到极狐GitLab 的详情可以检察官网指南。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]