首页 > 其他分享 >极狐GitLab 发布安全补丁版本 17.4.1、17.3.4、17.2.8

极狐GitLab 发布安全补丁版本 17.4.1、17.3.4、17.2.8

时间:2024-10-08 10:11:23浏览次数:7  
标签:版本 安全补丁 17.3 GitLab 17.2 极狐 17.4

本分分享极狐GitLab 补丁版本17.4.1、17.3.4、17.2.8 的详细内容。

近期,极狐GitLab 专业技术团队正式发布了 17.4.1、17.3.4、17.2.8 版本。这几个版本包含重要的缺陷和安全修复代码,我们强烈建议所有私有化部署用户应该立即升级到上述的某一个版本。对于极狐GitLab SaaS,技术团队已经进行了升级,无需用户采取任何措施。

漏洞详情

标题 严重程度 严重程度
维护者可以通过精心构造的POST请求,然后通过更改Dependency Proxy URL来泄露Dependency Proxy密码 CVE-2024-4278
项目引用被暴露在系统注释中 CVE-2024-8974

CVE-2024-4278

  • 维护者可以通过精心构造的POST请求,通过更改Dependency Proxy URL来泄露Dependency Proxy密码

在极狐GitLab 上发现了一个信息暴露问题,这影响了 16.5 到 17.2.8、17.3 到 17.3.4 以及 17.4 和 17.4.1 版本。维护者可以通过精心构造一个 POST 请求,然后通过编辑特定的 Dependency Proxy 设置来获取 Dependency Proxy 的密码。这是一个中等风险的安全问题(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N, 5.5)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2024-4278。

CVE-2024-8974

  • 项目引用被暴露在系统注释中

在极狐GitLab 上发现了一个信息暴露问题,这影响了 15.6 到 17.2.8、17.3 到 17.3.4 以及 17.4 和 17.4.1 版本。在特定的条件下有可能将私有项目的路径泄露给未授权的用户。这是一个低等风险的安全问题(CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N, 2.6)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2024-8974。

受影响版本

CVE-2024-4278

  • 16.5 <= GitLab CE/EE/JH < 17.2.8
  • 17.3 <= GitLab CE/EE/JH < 17.3.4
  • 17.4 <= GitLab CE/EE/JH < 17.4.1

CVE-2024-8974

  • 15.6 <= GitLab CE/EE/JH < 17.2.8
  • 17.3 <= GitLab CE/EE/JH < 17.3.4
  • 17.4 <= GitLab CE/EE/JH < 17.4.1

建议的操作

我们强烈建议所有受以下问题描述所影响的安装实例尽快升级到最新版本。当没有指明产品部署类型的时候(omnibus、源代码、helm chart 等),意味着所有的类型都有影响。

对于GitLab/极狐GitLab 私有化部署版的用户,通过将原有的GitLab CE/EE/JH升级至极狐GitLab
17.4.1-jh、17.3.4-jh、17.2.8-jh 版本即可修复该漏洞。详情可以查看极狐GitLab 官网

  • Omnibus 安装

使用 Omnibus 安装部署的实例,升级详情可以查看极狐GitLab 安装包安装升级文档。

  • Docker 安装

使用 Docker 安装部署的实例,可使用如下三个容器镜像将产品升级到上述三个版本:

registry.gitlab.cn/omnibus/gitlab-jh:17.4.1-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.3.4-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.2.8-jh.0

升级详情可以查看极狐GitLab Docker 安装升级文档。

  • Helm Chart 安装

使用云原生安装的实例,可将使用的 Helm Chart 升级到 8.4.1(对应 17.4.1-jh)、8.3.4(对应 17.3.4-jh)、8.2.8(对应 17.2.8-jh)、8.0.8(对应 17.0.8)以及 7.11.10(对应 16.11.10)来修复该漏洞。升级详情可以查看 Helm Chart 安装升级文档。

JH 版本 17.4.1 17.3.4 17.2.8
Chart 版本 8.4.1 8.3.4 8.2.8

对于SaaS用户(jihulab.com),无需进行任何操作,我们已经升级SaaS以修复该漏洞。

极狐GitLab 技术支持

极狐GitLab 技术支持团队对付费客户GitLab(基础版/专业版)提供全面的技术支持,您可以通过https://support.gitlab.cn/#/portal/myticket将问题提交。

如果您是免费用户,在升级过程中遇到任何问题,可以在我们的官方论坛 https://forum.gitlab.cn 上发帖,或者在官网首页 https://gitlab.cn 的联系方式联系我们

新版本修复的缺陷

17.4.1

  • 改进了 OpenSSL 调用消息
  • 将API项目/:id/share的紧急性更改为低
  • 对议题关闭模式设置进行提交信息检查
  • 回滚:修复 VR 按钮显示不正确的问题
  • 回滚:在 17.4 中修复了不正确的 gitlab-shell-check 文件名称
  • 对于 OpenSSL v3 的调用延期到了极狐GitLab 17.7

17.3.4

  • 改进了 OpenSSL 调用消息
  • 对于 OpenSSL v3 的调用延期到了极狐GitLab 17.7

17.2.8

  • 改进了 OpenSSL 调用消息
  • 对于 OpenSSL v3 的调用延期到了极狐GitLab 17.7

本文由博客群发一文多发等运营工具平台 OpenWrite 发布

标签:版本,安全补丁,17.3,GitLab,17.2,极狐,17.4
From: https://www.cnblogs.com/jihugitlab/p/18451136

相关文章

  • A股、港股大涨,看多中国的顶级金融机构为何都选择极狐GitLab?
    疯狂上涨的A股、港股节前一周,上证指数累计上涨超12%,创下2008年11月以来最大单周涨幅;深证成指累计上涨超17%,创下1996年4月最大单周涨幅;创业板指上涨超22%,创下史上最大单周涨幅。过去两周,富时A50指数上涨25.5%、金龙指数上涨38.7%、iShareMSCIChinaETF上涨33.9%、3倍做多富......
  • 使用宝塔WebHook自动同步Gitlab提交的代码
    一、配置SSH创建SSH密钥打开终端。生成SSH密钥:使用以下命令生成一个新的SSH密钥对:ssh-keygen-trsa-b4096-C"[email protected]"-trsa 指定密钥类型为RSA。-b4096 指定密钥长度为4096位。-C"[email protected]" 用于添加注释(通常是......
  • linux 上安装gitlab代码仓库
    作者:程序那点事儿日期:2024/02/0804:06安装过程安装节点:192.168.43.106wgethttps://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el7/gitlab-ce-15.9.1-ce.0.el7.x86_64.rpmrpm-igitlab-ce-15.9.1-ce.0.el7.x86_64.rpmvim/etc/gitlab/gitlab.rbgitlab-ctl......
  • Gitlab分支管理规范和提交代码规范
    gitlab分支管理规范分支说明:测试代码库共有三个分支,main分支、dev分支、release分支--main分支:存放运行稳定的最新代码,一般不直接将未审核的代码合入到main分支--dev分支:存放个人开发的用例脚本,可用于用例故障修复,新的用例开发等--release分支:对应上线的产品版本,在发布......
  • GitLab 中文发行版最新的 17.4 发布了哪些与代码托管、CI/CD、安全合规相关的功能?
    沿袭我们的月度发布传统,极狐GitLab发布了17.4版本,该版本带来了当所有检查通过就会自动合并、WebIDE中的扩展市场现已可用以及获取Kubernetes资源事件等几十个重点功能的改进。下面是部分重点功能的详细解读。极狐GitLab为GitLab的中文发行版,中文版本对国内用户更友好、......
  • GitLab 中文版如何升级到最新的 17.4?
    本文分享极狐GitLab17.4升级的详细步骤。今日,极狐GitLab17.4正式发布。新版本发布了几十项与DevSecOps相关的更新,包括项目管理、源代码托管、CI/CD、安全合规等。对于用户来讲及时升级到最新版本不仅能够第一时间体验到最新功能,更重要的是能够避免老旧版本存在的安全风险而遭......
  • centos7安装gitlab并汉化
    一、基础环境准备1.安装依赖包[root@gitlab-server~]#yuminstallcurlpolicycoreutilsopenssh-serveropenssh-clientspostfixwgetgitpatch-y[root@gitlab-server~]#systemctlstartpostfix2.配置yum源(由于网络问题,国内用户,建议使用清华大学的镜像源进行安装)[root@g......
  • 如何恢复被删除的 GitLab 项目?
    GitLab是一个全球知名的一体化DevOps平台,很多人都通过私有化部署GitLab来进行源代码托管。极狐GitLab是GitLab在中国的发行版,专门为中国程序员服务。可以一键式部署极狐GitLab。学习极狐GitLab的相关资料:极狐GitLab官网极狐GitLab官网文档极狐GitLab论坛极狐G......
  • 被误删除的 GitLab 群组和项目该如何恢复?
    本文分享如何使用极狐GitLab的项目延迟删除功能来避免仓库被用户误操作。该功能设置了删除延时时间,在延时期间内,用户还可以对项目进行恢复。极狐GitLab为GitLab的中文发行版,中文版本对中国用户更友好。可以一键私有化部署,也可以直接使用SaaS。详细安装指南可以查看官网https:......
  • 如何恢复被删除的 GitLab 项目?
    本文分享如何使用极狐GitLab的项目延迟删除功能来避免仓库被用户误操作。该功能设置了删除延时时间,在延时期间内,用户还可以对项目进行恢复。极狐GitLab为GitLab的中文发行版,中文版本对中国用户更友好。可以一键私有化部署,也可以直接使用SaaS。详细安装指南可以查看官网http......