主要观点：

• CVE-2024-45409 是又一个 XML 签名包装攻击，影响 GitLab 等，该攻击不断出现并影响大量互联网领域。
• XML 签名与 JWT 类似但更复杂，其签名方式易导致“签名发现”步骤的错误，引发“XML 签名包装”攻击。
• SAML 导致 XML 签名问题重要，它通过身份提供者向服务提供者发送签名 XML 消息实现企业单点登录，其消息结构易受攻击。
• 解决办法是 SAML 库作者不应轻信规范，忽略 XML 签名中的URI，直接处理 SAML 有效负载，按实际协议实施。

关键信息：

• 2024 年 9 月 10 日发布 CVE-2024-45409，影响 Ruby 实现的 SAML。
• XML 签名签名方式易出错，如通过修改消息添加签名元素。
• SAML 消息结构易被攻击，身份提供者发送的消息包含签名等信息。
• 解决办法是不依赖 XML 签名规范，直接处理 SAML 有效负载。

重要细节：

• Ruby-SAML 通过在resolve_uri找到多个匹配时抛出解决部分问题，但仍可能存在其他问题。
• SAML 实现主要包括验证消息和登录用户，其消息结构易被利用进行攻击。
• 规范存在安全缺陷，负责任工程师应忽略规范，按核心安全内容实施。