- Gitlab नौ खामियों के लिए पैच जारी करता है, जिसमें दो महत्वपूर्ण गंभीरता भी शामिल है
- महत्वपूर्ण खामियों ने खतरे वाले अभिनेताओं को प्रमाणीकरण को बायपास करने की अनुमति दी और डेटा एक्सफिल्ट्रेशन को जन्म दिया
- पैच अब उपलब्ध है, Gitlab उपयोगकर्ताओं से इसे लागू करने का आग्रह करता है
Gitlab ने अपने सामुदायिक संस्करण (CE) और एंटरप्राइज एडिशन (EE) समाधानों को प्रभावित करने वाली नौ कमजोरियों को पैच किया है, और उपयोगकर्ताओं से तुरंत पैच को लागू करने का आग्रह किया है।
प्रकाशित एक सुरक्षा सलाहकार में, Gitlab ने कहा कि नौ खामियों में से दो महत्वपूर्ण गंभीरता वाले हैं, जो खतरे के अभिनेताओं को प्रमाणीकरण को बायपास करने की अनुमति देते हैं।
उपयोगकर्ताओं से आग्रह किया जाता है कि वे अपने GITLAB CE/EE को 17.7.7, 17.8.5, और 17.9.2, जितनी जल्दी हो सके संस्करणों में लाने का आग्रह करें। Gitlab.com पहले से ही पैच किया गया है, और GitLab समर्पित ग्राहकों को स्वचालित रूप से अपडेट किया जाएगा, इसलिए उनके अंत पर कोई कार्रवाई की आवश्यकता नहीं है। हालांकि, जो उपयोगकर्ता स्व-प्रबंधित इंस्टॉलेशन चलाते हैं, उन्हें पैच अप करना होगा, साथ ही साथ।
शमन और पैचिंग
“हम दृढ़ता से अनुशंसा करते हैं कि नीचे वर्णित मुद्दों से प्रभावित एक संस्करण चलाने वाले सभी इंस्टॉलेशन जल्द से जल्द नवीनतम संस्करण में अपग्रेड किए गए हैं,” गितलैब ने कहा।
दो महत्वपूर्ण गंभीरता खामियों को CVE-2025-25291 और CVE-2025-25292 के रूप में ट्रैक किया गया है। वे दोनों रूबी-एसएएमएल लाइब्रेरी में खोजे गए थे, जिसका उपयोग एसएएमएल सिंगल साइन-ऑन (एसएसओ) प्रमाणीकरण के लिए किया जाता है। एक प्रमाणित हमलावर, एक वैध हस्ताक्षरित एसएएमएल दस्तावेज़ तक पहुंच के साथ, एक ही एसएएमएल पहचान प्रदाता (आईडीपी) वातावरण के साथ एक अन्य उपयोगकर्ता को लागू कर सकता है, और इस प्रकार उनके खाते तक पहुंच प्राप्त कर सकता है।
यह, बदले में, डेटा एक्सफिल्ट्रेशन, विशेषाधिकार वृद्धि, और बहुत कुछ कर सकता है।
जो उपयोगकर्ता पैच को तुरंत लागू नहीं कर सकते हैं, उन्हें यह सुनिश्चित करके जोखिम को कम करना चाहिए कि सभी उपयोगकर्ताओं को GITLAB स्व-प्रबंधित उदाहरणों पर 2FA सेट अप होता है (पहचान प्रदाता स्तर पर 2FA मदद नहीं करता है)। उन्हें SAML दो-कारक बाईपास विकल्प को भी निष्क्रिय करना चाहिए, और ऑटो-निर्मित उपयोगकर्ताओं के लिए व्यवस्थापक अनुमोदन का अनुरोध करना चाहिए।
Gitlab ने जोर देकर कहा कि इन्हें केवल अस्थायी mitigations के रूप में देखा जाना चाहिए, और यह कि मुद्दे को स्थायी रूप से संबोधित करने का एकमात्र तरीका पैच को लागू करना है।
GitHub का कहना है कि इसका मंच इस खोज से प्रभावित नहीं है, क्योंकि यह एक दशक से अधिक समय पहले रूबी-SAML लाइब्रेरी का उपयोग करना बंद कर दिया था ,, BleepingComputer मिला।
“GitHub वर्तमान में प्रमाणीकरण के लिए रूबी-SAML का उपयोग नहीं करता है, लेकिन एक बार फिर SAML प्रमाणीकरण के लिए एक खुले स्रोत पुस्तकालय का उपयोग करने के इरादे से लाइब्रेरी के उपयोग का मूल्यांकन करना शुरू कर दिया,” GitHub ने कहा।
के जरिए उड़ाने वाला कंप्यूटर
आप इसे भी पसंद कर सकते हैं
Hello Readers! I am RAHUL KUMAR MAHTO RKM With 3 Year of Experience in Writing Content About Scholarship. With Masters in IT, I love to to write digital content about Government Scholarship Schemes, Private Scholarship Schemes.
