SK-CERT Bezpečnostné varovanie V20240912-11

Dôležitosť Kritická
Klasifikácia Neutajované/TLP:CLEAR
CVSS Skóre
10.0
Identifikátor
SAML knižnica pre Ruby – dve kritické bezpečnostné zraniteľnosti
Popis
Vývojári SAML knižnice pre programovací jazyk Ruby vydali bezpečnostnú aktualizáciu svojho produktu, ktorá opravuje kritickú bezpečnostnú zraniteľnosť.
Kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-45409 spočíva v nedostatočnej implementácii mechanizmov autentifikácie a umožňuje vzdialenému, neautentifikovanému útočníkovi prostredníctvom zaslania špeciálne vytvorenej SAML odpovede získať neoprávnený prístup do systému s následkom úplného narušenia dôvernosti a integrity systému.
Druhá kritická bezpečnostná zraniteľnosť nemá pridelený identifikátor CVE.
Zneužitím druhej bezpečnostnej zraniteľnosti možno získať neoprávnený prístup k citlivým údajom a vykonať neoprávnené zmeny v systéme.
Dátum prvého zverejnenia varovania
10.9.2024
CVE
CVE-2024-45409
IOC
Zasiahnuté systémy
CVE-2024-45409:
omniauth-saml vo verzii staršej ako 2.2.0
ruby-saml vo verzii staršej ako 1.17.0, 1.12.3

bez prideleného identifikátora CVE:
omniauth-saml vo verzii staršej ako v2.2.1

Následky
Neoprávnený prístup do systému
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Zneprístupnenie služby
Odporúčania
Odporúčame uistiť sa, či Vaše aplikácie nie sú založené na predmetnej knižnici v zraniteľnej verzii. V prípade, že áno, bezodkladne zabezpečte aktualizáciu komponentov, od ktorých závisí vaša aplikácia, na aktuálne verzie bez známych bezpečnostných zraniteľností.
Po odstránení zraniteľností, ktoré mohli spôsobiť získanie prístupu k citlivým údajom, je dobrou praxou zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Zdroje
https://github.com/SAML-Toolkits/ruby-saml/security/advisories/GHSA-jw9c-mfg7-9rx2
https://exchange.xforce.ibmcloud.com/vulnerabilities/359390
https://exchange.xforce.ibmcloud.com/vulnerabilities/359391
https://github.com/SAML-Toolkits/ruby-saml/commit/1ec5392bc506fe43a02dbb66b68741051c5ffeae

« Späť na zoznam