在关键的安全版本中，GitLab 解决了其社区版 （CE） 和企业版 （EE） 平台中的一个严重漏洞 （CVE-2024-45409），该漏洞会影响所有自行管理的安装。强烈建议管理员立即升级到新修补的版本 16.10.10、16.9.11、16.8.10、16.7.10、16.6.10、16.5.10、16.4.7、16.3.9、16.2.11、16.1.8 或 16.0.10。这些版本包含最初针对极狐GitLab 版本 17.x.x 和 16.11.10 发布的关键安全修复程序。

CVE-2024-45409 是一个严重漏洞，影响 GitLab 的 OmniAuth 框架使用的安全断言标记语言 （SAML） 身份验证。SAML 是一种单点登录 （SSO） 协议，它允许使用一组凭证访问多个服务，从而简化用户登录。此漏洞源于 GitLab 验证身份提供商 （IdP） 发送的 SAML 响应的方式存在缺陷，特别是在 OmniAuth-SAML 和 Ruby-SAML 库中。

当 GitLab 错误处理 SAML 断言的某些元素时，会出现该错误，尤其是（外部用户 ID）。这是用于识别多个系统中的用户的关键标识符。如果 SAML 响应配置错误或纵，攻击者可以利用此漏洞绕过身份验证并获得对 GitLab 实例的未经授权的访问。extern_uidextern_uid

该漏洞允许攻击者制作恶意 SAML 响应，诱骗 GitLab 相信他们是经过身份验证的合法用户。通过完全绕过 SAML 身份验证，攻击者可以不受限制地访问敏感的 GitLab 存储库，并可能危及源代码、知识产权和其他关键业务资产。

GitLab 尚未明确确认任何在野利用案例，但安全公告警告说可能已经进行了尝试。可能被利用的指标包括：

• 与 ‘RubySaml：：ValidationError’ 相关的错误（尝试失败）
• 身份验证日志中出现新的或异常的“extern_uid”值（成功尝试）
• SAML 响应中的信息缺失或不正确
• 单个用户的多个“extern_uid”值（可能被盗用）
• 来自不熟悉或可疑 IP 地址的 SAML 身份验证

极狐GitLab 强烈建议所有受影响的自行管理安装立即升级到修补版本之一。