MÜNCHEN (IT BOLTWISE) – In der Welt der Cybersicherheit sind neue Schwachstellen in der Open-Source-Bibliothek ruby-saml aufgetaucht, die potenziell schwerwiegende Folgen für die Sicherheit von Benutzerkonten haben könnten.
Die jüngsten Entdeckungen von GitHub haben zwei schwerwiegende Sicherheitslücken in der Open-Source-Bibliothek ruby-saml ans Licht gebracht, die es Angreifern ermöglichen könnten, die Sicherheitsmechanismen der Security Assertion Markup Language (SAML) zu umgehen. SAML ist ein XML-basiertes Standardprotokoll, das für den Austausch von Authentifizierungs- und Autorisierungsdaten zwischen verschiedenen Parteien verwendet wird. Es ermöglicht Funktionen wie Single Sign-On (SSO), bei dem Benutzer mit einem einzigen Satz von Anmeldedaten auf mehrere Dienste zugreifen können.
Die Schwachstellen, die unter den Bezeichnungen CVE-2025-25291 und CVE-2025-25292 bekannt sind, weisen einen CVSS-Wert von 8,8 von 10 auf. Betroffen sind die Versionen der Bibliothek vor 1.12.4 sowie die Versionen ab 1.13.0 bis vor 1.18.0. Beide Schwachstellen resultieren aus der unterschiedlichen Art und Weise, wie die XML-Parser REXML und Nokogiri XML-Dokumente verarbeiten, was zu unterschiedlichen Dokumentstrukturen führt. Diese Diskrepanz ermöglicht es Angreifern, einen sogenannten Signature Wrapping Angriff durchzuführen, der zu einer Umgehung der Authentifizierung führen kann.
GitHub, das die Schwachstellen im November 2024 entdeckte und meldete, warnte, dass diese von böswilligen Akteuren ausgenutzt werden könnten, um Konten zu übernehmen. Laut Peter Stöckli, einem Forscher des GitHub Security Labs, könnten Angreifer, die im Besitz einer gültigen Signatur sind, die mit dem Schlüssel erstellt wurde, der zur Validierung von SAML-Antworten oder -Assertions der Zielorganisation verwendet wird, diese nutzen, um eigene SAML-Assertions zu konstruieren und sich als beliebiger Benutzer anzumelden.
Die Schwachstellen wurden in den ruby-saml-Versionen 1.12.4 und 1.18.0 behoben. Diese Versionen schließen auch eine Remote-Denial-of-Service (DoS)-Schwachstelle, die beim Umgang mit komprimierten SAML-Antworten auftritt (CVE-2025-25293, CVSS-Wert: 7,7). Nutzern wird dringend empfohlen, auf die neueste Version zu aktualisieren, um sich vor potenziellen Bedrohungen zu schützen.
Diese Entdeckungen kommen fast sechs Monate, nachdem GitLab und ruby-saml eine andere kritische Schwachstelle (CVE-2024-45409, CVSS-Wert: 10,0) behoben haben, die ebenfalls zu einer Umgehung der Authentifizierung führen konnte. Die kontinuierliche Entdeckung und Behebung solcher Schwachstellen unterstreicht die Bedeutung von Sicherheitsüberprüfungen und regelmäßigen Updates in der Softwareentwicklung.
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Praktikum im Bereich KI-basierte Auswertung von Betriebsdaten von Hydraulikpumpen
Senior Projektleiter Fokus Daten- und KI-Projekte (w/m/d) [F-DT 02376953]
AI/ML Operations Engineer (m/f/d)
Duales Studium BWL-Artificial Intelligence (B.A.) am Campus oder virtuell
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "GitHub entdeckt kritische Sicherheitslücken in ruby-saml" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "GitHub entdeckt kritische Sicherheitslücken in ruby-saml" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die deutsche Google-Suchmaschine für eine weitere Themenrecherche: »GitHub entdeckt kritische Sicherheitslücken in ruby-saml« bei Google Deutschland suchen und bei Google News recherchieren!