首页 > 其他分享 >CVE-2024-45409 漏洞解决方案

CVE-2024-45409 漏洞解决方案

时间:2024-09-19 09:45:27浏览次数:11  
标签:升级 gitlab 45409 漏洞 GitLab 2024 极狐 jh CVE

漏洞描述

CVE-2024-45409 漏洞是由 Ruby SAML 库引起的。Ruby SAML 库是用于实现 SAML 授权的客户端。12.2 及以下的所有版本、1.13.0 到 1.16.0 之间的 Ruby-SAML 版本都受此影响。这些版本不能够正确验证 SAML 响应的签名。因此,具有访问任何身份提供者(IdP)签署的 SAML 文档的未经身份验证的攻击者可以伪造包含任意内容的 SAML 响应/断言。这将允许攻击者以任意用户身份登录到易受攻击的系统中。此漏洞在 1.17.0 和 1.12.3 版本中已修复。

对于极狐GitLab 的影响

由于极狐GitLab 是基于 Ruby 的,因此极狐GitLab 受此漏洞的影响。在漏洞被披露以后,极狐GitLab 专业技术团队很快就发布了安全版本极狐GitLab 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10。官方强烈建议所有的私有化部署用户应立即升级到上述推荐的某一个版本。对于极狐GitLab SaaS(JihuLab.com)来讲,专业的技术团队已经进行了升级。

升级指南

对于GitLab/极狐GitLab 私有化部署版的用户,通过将原有的GitLab CE/EE/JH升级至极狐GitLab
17.3.3-jh、17.2.7-jh、17.1.8-jh、17.0.8-jh、16.11.10-jh 版本即可修复该漏洞。详请可以查看极狐GitLab 官网

Omnibus 安装

使用 Omnibus 安装部署的实例,升级详情可以查看极狐GitLab 安装包安装升级文档

Docker 安装

使用 Docker 安装部署的实例,可使用如下三个容器镜像将产品升级到上述三个版本:


* registry.gitlab.cn/omnibus/gitlab-jh:17.3.3-jh.0 * registry.gitlab.cn/omnibus/gitlab-jh:17.2.7-jh.0 * registry.gitlab.cn/omnibus/gitlab-jh:17.1.8-jh.0 * registry.gitlab.cn/omnibus/gitlab-jh:17.0.8-jh.0 * registry.gitlab.cn/omnibus/gitlab-jh:16.11.10-jh.0
升级详情可以查看[极狐GitLab Docker 安装升级文档](https://docs.gitlab.cn/jh/install/docker.html)。 

Helm Chart 安装

使用云原生安装的实例,可将使用的 Helm Chart 升级到 8.3.3(对应 17.3.3-jh)、8.2.7(对应 17.2.7-jh)、8.1.8(对应 17.1.8-jh)、8.0.8(对应 17.0.8)以及 7.11.10(对应 16.11.10)来修复该漏洞。升级详情可以查看 Helm Chart 安装升级文档

对于SaaS用户(jihulab.com),无需进行任何操作,我们已经升级SaaS以修复该漏洞。

极狐GitLab技术支持

极狐GitLab 技术支持团队对付费客户GitLab(基础版/专业版)提供全面的技术支持,您可以通过https://support.gitlab.cn/#/portal/myticket将问题提交。

如果您是免费用户,在升级过程中遇到任何问题,可以在极狐GitLab 官网找到联系方式联系官方技术专家。

本文由博客群发一文多发等运营工具平台 OpenWrite 发布

标签:升级,gitlab,45409,漏洞,GitLab,2024,极狐,jh,CVE
From: https://www.cnblogs.com/jihugitlab/p/18419897

相关文章

  • 【2024-09-18】共创美好
    20:00一个人的精力有限、时间有限、智慧有限,一生中能做的事情有限,所以,目标必须明确、集中。如果能集中精力和时间做成一两件对社会真正有益的事情,那就不错了。                                    ......
  • 【IEEE出版,连续5届稳定EI检索】第六届国际科技创新学术交流大会暨新能源科学与电力工
    新能源科学与电力工程国际学术会议(NESEE2024)作为第六届国际科技创新学术交流大会分会场开展。大会将于2024年12月6-8日在中国广州隆重举行。会议将围绕“能源系统”、“能源技术”、“可再生能源”、“电力工程”、“电气工程”、“电网系统”等最新主流研究领域进行交流,旨在......
  • 【保奖思路】2024年华为杯研赛B题保奖思路(点个关注,后续会更新)
     您的点赞收藏是我继续更新的最大动力!一定要点击文末的卡片,那是获取资料的入口!现分享2023年华为杯研赛B题思路,供大家参考学习:DFT在通信等领域的重要应用,以及目前采用FFT计算DFT的硬件开销大的问题。提出了将DFT矩阵分解为整数矩阵乘积逼近的方法来降低硬件复杂度。助攻资......
  • 【保奖思路】2024年华为杯研赛B题保奖思路(点个关注,后续会更新)
    您的点赞收藏是我继续更新的最大动力!一定要点击文末的卡片,那是获取资料的入口!现分享2023年华为杯研赛B题思路,供大家参考学习:DFT在通信等领域的重要应用,以及目前采用FFT计算DFT的硬件开销大的问题。提出了将DFT矩阵分解为整数矩阵乘积逼近的方法来降低硬件复杂度。助攻资......
  • Acunetix v24.8 - 29 Aug 2024 高级版漏洞扫描器(最新版) 附Windows/Linux下载链接
    前言AcunetixPremium是一种Web应用程序安全解决方案,用于管理多个网站、Web应用程序和API的安全。集成功能允许您自动化DevOps和问题管理基础架构。AcunetixPremium:全面的Web应用程序安全解决方案Web应用程序对于企业和组织与客户、合作伙伴和员工的联系至关......
  • 2024.9.18
    又要早八了,哎呀呀。上午数分,感觉还行,讲了关于e的事情,非常有道理啊,待会儿复习一下。然后是数算,没听课,在后面写数算作业。大主播不来上数算课了,不喜欢,本来想请他吃午饭的。下午计概,大概听明白了,我觉得我作业全对。然后打农,以及问大主播来不来一起吃晚饭,得到的结果是没空。大......
  • 2024年9个优秀企业服务API
    运用企业服务API收集精准且具洞察力的数据,以优化业务策略、加深对消费者的理解、提供个性化的产品,从而加速业务增长。丰富的数据可强化销售体系,提升外展销售能力。通过数据辅助决策及收集潜在客户信息,实现拓展活动的针对性,提高成交几率和开启新对话的概率。如此,品牌得以......
  • 【2024潇湘夜雨】WIN11_Pro_21H2.22000.3197软件选装纯净特别版9.19
    【系统简介】=============================================================1.本次更新母盘来自WIN11_Pro_21H2.22000.3197.2.全程离线精简、无人值守调用优化处理制作。部分优化适配系统可能要重启几次,即使显示适配失败也不要在意,可能部分优化不适用。3.OS版本号为22000.3197。......
  • 【面试经验】2024年9月滴滴后端笔试 java
    比较简单,两题编程。选择题好像是20题,有部分不确定,有C++的几题。题目记不清了,凭印象写一下。编程题第一题充电第一题:n个玩具,m电量,尽可能让一个大的区间内的玩具的电量充满。输出充满电的玩具个数。双指针+滑动窗口。importjava.util.Scanner;publicclassMa......
  • CINEMA 4D R2024(C4D)下载安装教程
    Cinema4D2024是一款强大的三维软件。CINEMA4DR2024(C4D)下载安装教程其在多方面有显著升级。模拟系统方面,刚体模拟加入统一模拟框架,可与布料、绳索等模拟类型交互;Pyro模拟功能增强,能从粒子等生成火焰且可设置初始状态、缓存及升级。建模工具上,新增图案选择功能、投影变形器......