GitLabは分散型バージョン管理システム「Git」を軸として構築された、DevSecOpsプラットフォームです。
同様によく利用されているサービスにGitHubもありますが、GitLabはユーザの権限をグループ毎に設定することも可能としているなど特徴のあるサービスを展開しています。
そのGitLabが最近更新されました。
更新内容は脆弱性対応です。
- CVE-2024-45409
SAMLというものがあります。
SAMLはSecurity Assertion Markup Languageの頭文字を取ったものです。
SAMLはシングルサインオンやID連携などで利用される認証情報の規格です。
この脆弱性は「SAML応答」の署名を正しく検証せず、認証のバイパスが可能となる脆弱性です。
Ruby-SAMLというRuby環境向けのSAML実装の脆弱性です。 - omniauth-saml
前述のRuby-SAMLの脆弱性に関連し、omniauth-samlでも暗号署名の不適切な検証が発現します。
これを回避するため、omniauth-samlも前提となるRuby-SAMLのバージョン条件をCVE-2024-45409に対して安全なものが指定されたものがリリースされました。 - GitLab
GitLabはその機能の実現のために、Ruby-SAMLとomniauth-samlに依存しています。
そして、これらのバージョンが低い状態において、加工したアクセスを行うことによりSAML認証をバイパスできてしまう問題がありました。
この問題が修正された新しいバージョンがリリースされています。
GitLabはクラウドでもオンプレミスでも利用できるものです。
クラウド環境は、そのクラウドの運用チームが速やかに問題に対応したものへの更新を実施していることが期待できますが、オンプレミスで使用している場合は、その管理者自身が対応する必要があります。
シングルサインオンを実現するSAMLは非常に便利ですが、それを構成するソフトウェアに問題があるバージョンを使用する場合、非常に危険なものとなります。
Ruby-SAMLとomniauth-samlに依存しているソフトウェアはGitLabだけではないと思います。
いくつものアプリケーションで更新の提供が出てくるのでしょうか。
安全と便利を同時に手に入れるには、手間なしとはいかないのかもしれません。
GitLab Critical Patch Release: 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10
https://about.gitlab.com/releases/2024/09/17/patch-release-gitlab-17-3-3-released/
| この記事をシェア |
|
|---|
