首页 > 其他分享 >极狐GitLab 发布安全补丁版本 17.4.2, 17.3.5, 17.2.9

极狐GitLab 发布安全补丁版本 17.4.2, 17.3.5, 17.2.9

时间:2024-10-16 14:21:22浏览次数:6  
标签:17.2 版本 17.3 GitLab 2024 安全补丁 17.4 CVE

本分分享极狐GitLab 补丁版本 17.4.2, 17.3.5, 17.2.9 的详细内容。

今天,极狐GitLab 专业技术团队正式发布了 17.4.2, 17.3.5, 17.2.9 版本。这几个版本包含重要的缺陷和安全修复代码,我们强烈建议所有私有化部署用户应该立即升级到上述的某一个版本。对于极狐GitLab SaaS,技术团队已经进行了升级,无需用户采取任何措施。

漏洞详情

标题 严重程度 CVE ID
在任意分支上运行流水线 严重 CVE-2024-9164
攻击者可以伪装成任意用户 CVE-2024-8970
分析仪表盘中的 SSRF 漏洞 CVE-2024-8977
在具有冲突的 MR 中查看差异(diff)可能会很慢 CVE-2024-9631
OAuth 页面中的 HTMLi CVE-2024-6530
部署密钥会推送变更到归档仓库 CVE-2024-9623
访客(Guests)能够泄露项目模版 CVE-2024-5005
极狐GitLab 实例版本被泄露给未授权用户 CVE-2024-9596

CVE-2024-9164

在该漏洞下,可以在任意分支上运行流水线。影响从 12.5 开始到 17.2.9 之前的所有版本、从 17.3 开始到 17.3.5 之前的所有版本以及从 17.4 开始到 17.4.2 之前的所有版本 。这是一个严重级别的安全问题(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N, 9.6)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2024-9164。

CVE-2024-8970

在该漏洞下,攻击者可以在特定环境下以其他用户的身份来运行流水线。影响从 11.6 到 17.2.9 之前的所有版本、从 17.3 到 17.3.5 之前的所有版本以及从 17.4 到 17.4.2 之前的所有版本。这是一个高危级别的安全问题(CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N, 8.2)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2024-8970。

CVE-2024-8977

在该漏洞下,配置且开启了生产力分析仪表盘的实例可能会遭受 SSRF 攻击。影响从 15.10 到 17.2.9 之前的所有版本、从 17.3 到 17.3.5 之前的所有版本以及从 17.4 到 17.4.2 之前的所有版本。这是一个高危级别的安全问题(CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N, 8.2)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2024-8970。

CVE-2024-9631

在该漏洞下,如果在具有冲突的 MR 中查看差异(diff)就会变得很慢。影响从 13.6 到 17.2.9 之前的所有版本、从 17.3 到 17.3.5 之前的所有版本以及从 17.4 到 17.4.2 之前的所有版本。这是一个高危级别的安全问题(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H, 7.5)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2024-9631。

CVE-2024-6530

在该漏洞下,在特定情况下,授权一个新应用时,它可能会被渲染为 HTML。影响从 17.1 到 17.2.9 之前的所有版本、从 17.3 到 17.3.5 之前的所有版本以及从 17.4 到 17.4.2 之前的所有版本。这是一个高危级别的安全问题(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N, 7.3)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2024-6530。

CVE-2024-9623

在该漏洞下,允许部署密钥向归档仓库推送变更。影响从 8.16 到 17.2.9 之前的所有版本、从 17.3 到 17.3.5 之前的所有版本以及从 17.4 到 17.4.2 之前的所有版本。这是一个中等级别的安全问题(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N, 7.3)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2024-9623。

CVE-2024-5005

在该漏洞下,访客可能会使用 API 来泄露项目模版。影响从 11.4 到 17.2.9 之前的所有版本、从 17.3 到 17.3.5 之前的所有版本以及从 17.4 到 17.4.2 之前的所有版本。这是一个中等级别的安全问题(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N, 4.3)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2024-5005。

CVE-2024-9596

在漏洞下,极狐GitLab 的版本信息可能会泄露给未授权的用户。影响从 16.6 到 17.2.9 之前的所有版本、从 17.3 到 17.3.5 之前的所有版本以及从 17.4 到 17.4.2 之前的所有版本。这是一个低等级别的安全问题(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N, 3.7)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2024-9596。

受影响版本

CVE-2024-9164

  • 12.5 <= GitLab CE/EE/JH < 17.2.9
  • 17.3 <= GitLab CE/EE/JH < 17.3.5
  • 17.4 <= GitLab CE/EE/JH < 17.4.2

CVE-2024-8970

  • 11.6 <= GitLab CE/EE/JH < 17.2.9
  • 17.3 <= GitLab CE/EE/JH < 17.3.5
  • 17.4 <= GitLab CE/EE/JH < 17.4.2

CVE-2024-8977

  • 15.10 <= GitLab CE/EE/JH < 17.2.9
  • 17.3 <= GitLab CE/EE/JH < 17.3.5
  • 17.4 <= GitLab CE/EE/JH < 17.4.2

CVE-2024-9631

  • 13.6 <= GitLab CE/EE/JH < 17.2.9
  • 17.3 <= GitLab CE/EE/JH < 17.3.5
  • 17.4 <= GitLab CE/EE/JH < 17.4.2

CVE-2024-6530

  • 17.1 <= GitLab CE/EE/JH < 17.2.9
  • 17.3 <= GitLab CE/EE/JH < 17.3.5
  • 17.4 <= GitLab CE/EE/JH < 17.4.2

CVE-2024-9623

  • 8.16 <= GitLab CE/EE/JH < 17.2.9
  • 17.3 <= GitLab CE/EE/JH < 17.3.5
  • 17.4 <= GitLab CE/EE/JH < 17.4.2

CVE-2024-5005

  • 11.4 <= GitLab CE/EE/JH < 17.2.9
  • 17.3 <= GitLab CE/EE/JH < 17.3.5
  • 17.4 <= GitLab CE/EE/JH < 17.4.2

CVE-2024-9596

  • 16.6 <= GitLab CE/EE/JH < 17.2.9
  • 17.3 <= GitLab CE/EE/JH < 17.3.5
  • 17.4 <= GitLab CE/EE/JH < 17.4.2

建议的操作

我们强烈建议所有受以下问题描述所影响的安装实例尽快升级到最新版本。当没有指明产品部署类型的时候(omnibus、源代码、helm chart 等),意味着所有的类型都有影响。

对于GitLab/极狐GitLab 私有化部署版的用户,通过将原有的GitLab CE/EE/JH升级至极狐GitLab
17.4.2-jh、17.3.5-jh、17.2.9-jh 版本即可修复该漏洞。详情可以查看极狐GitLab 官网

  • Omnibus 安装

使用 Omnibus 安装部署的实例,升级详情可以查看极狐GitLab 安装包安装升级文档。

  • Docker 安装

使用 Docker 安装部署的实例,可使用如下三个容器镜像将产品升级到上述三个版本:

registry.gitlab.cn/omnibus/gitlab-jh:17.4.2-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.3.3-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.2.9-jh.0

升级详情可以查看极狐GitLab Docker 安装升级文档。

  • Helm Chart 安装

使用云原生安装的实例,可将使用的 Helm Chart 升级到 8.4.1(对应 17.4.1-jh)、8.3.4(对应 17.3.4-jh)、8.2.8(对应 17.2.8-jh)、8.0.8(对应 17.0.8)以及 7.11.10(对应 16.11.10)来修复该漏洞。升级详情可以查看 Helm Chart 安装升级文档。

JH 版本 17.4.2 17.3.5 17.2.9
Chart 版本 8.4.2 8.3.5 8.2.9

对于SaaS用户(jihulab.com),无需进行任何操作,我们已经升级SaaS以修复该漏洞。

极狐GitLab 技术支持

极狐GitLab 技术支持团队对付费客户GitLab(基础版/专业版)提供全面的技术支持,您可以通过https://support.gitlab.cn/#/portal/myticket将问题提交。

如果您是免费用户,在升级过程中遇到任何问题,可以查看最新推出的GitLab 专业升级服务 获取专业服务!

新版本修复的缺陷

17.4.2

  • 回溯:修复:在 17-4-stable 中为 SCHEMA_VERSIONS_DIR 指定绝对目录
  • 回溯:修复:在 17.4 中将 grpc-go 从旧版本升级到 v1.67.1
  • 在 enable_advanced_sast_spec.rb 中更新预期的漏洞
  • 跳过稳定分支合并请求的多版本升级作业
  • 回溯:17.4 中修复了在查找时候通过名称来进行标签过滤
  • 在 ci_deleted_objects 中删除 project_id 不能为 null 的约束
  • [回溯] Go-get:修复未经认证请求的 401 错误

17.3.5

  • 回溯:修复:在 17-3-stable 中为 SCHEMA_VERSIONS_DIR 指定绝对目录
  • 回溯:修复:在 17.3 中允许非 root 用户运行 bundle-certificates 脚本
  • 跳过稳定分支合并请求的多版本升级作业。
  • 确保受限的可见性级别是一个数组 - 17.2 版本回溯

17.2.9

  • 跳过稳定分支合并请求的多版本升级作业
  • 确保受限的可见性级别是一个数组 - 17.2 版本回溯

本文由博客群发一文多发等运营工具平台 OpenWrite 发布

标签:17.2,版本,17.3,GitLab,2024,安全补丁,17.4,CVE
From: https://www.cnblogs.com/jihugitlab/p/18469876

相关文章

  • Docker Compose部署GitLab
    今天我将向你展示如何在一小时内安装GitLab服务器,并在其中运行第一个CI/CD进程。本文是“如何开始使用流行的CI/CD工具”系列文章的一部分。在本文中,我将向你展示如何安装CI/CD工具,以及如何准备基于Maven构建和测试一个简单项目的流程。什么是GitLab?Gitlab是一款......
  • RustRover向Gitlab提价要求证书问题
    源码存储库是Gitlab,并没有使用证书方式进行身份验证,只是用账号和密码进行身份认证,但是,RustRover进行源码操作时候提示要求证书,如下图:解决方法:在插件里面搜索Gitlab,禁用,随后操作源码的时候,输入正确的账号和密码就可以了 参考:https://blog.csdn.net/qq_39306234/article/det......
  • Gitlab添加SSH密钥
    1、首先本地需要下载git,确保右键有gitbash选项2、在C盘用户文件夹下,找到.ssh目录(没有新建)3、在此目录下打开gitbash4、生成密钥ssh-keygen-trsa-b4096-C"[email protected]"ssh-keygen:这是生成SSH密钥对的命令。-trsa:这个选项指定了密钥类型。rsa是一种常用的加密......
  • GitLab 中文版如何设置密码长度、复杂度以及过期时间?
    本分分享如何在极狐GitLab通过设置密码策略,让登录注册变得更加安全,策略主要包含三部分:设置密码长度、密码复杂度以及密码过期时间。设置密码长度此功能所有版本都可享有。默认情况下,极狐GitLab的密码长度有长度要求:最小8个字符最大128个字符设置路径:管理中心-->设......
  • ElasticSearch7.17.3简介+centos7详细安装教程+Springboot整合ES
    一、ElasticSearch简介    官方地址:Elasticsearch:官方分布式搜索和分析引擎|Elastic1.1ElasticSearch简介        Elasticsearch是一个分布式、RESTful风格的搜索和数据分析引擎,同时是可扩展的数据存储和矢量数据库,能够应对日益增多的各种用例。作为......
  • 极狐GitLab 发布安全补丁版本 17.4.1、17.3.4、17.2.8
    本分分享极狐GitLab补丁版本17.4.1、17.3.4、17.2.8的详细内容。近期,极狐GitLab专业技术团队正式发布了17.4.1、17.3.4、17.2.8版本。这几个版本包含重要的缺陷和安全修复代码,我们强烈建议所有私有化部署用户应该立即升级到上述的某一个版本。对于极狐GitLabSaaS,技术团队已......
  • A股、港股大涨,看多中国的顶级金融机构为何都选择极狐GitLab?
    疯狂上涨的A股、港股节前一周,上证指数累计上涨超12%,创下2008年11月以来最大单周涨幅;深证成指累计上涨超17%,创下1996年4月最大单周涨幅;创业板指上涨超22%,创下史上最大单周涨幅。过去两周,富时A50指数上涨25.5%、金龙指数上涨38.7%、iShareMSCIChinaETF上涨33.9%、3倍做多富......
  • 使用宝塔WebHook自动同步Gitlab提交的代码
    一、配置SSH创建SSH密钥打开终端。生成SSH密钥:使用以下命令生成一个新的SSH密钥对:ssh-keygen-trsa-b4096-C"[email protected]"-trsa 指定密钥类型为RSA。-b4096 指定密钥长度为4096位。-C"[email protected]" 用于添加注释(通常是......
  • linux 上安装gitlab代码仓库
    作者:程序那点事儿日期:2024/02/0804:06安装过程安装节点:192.168.43.106wgethttps://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el7/gitlab-ce-15.9.1-ce.0.el7.x86_64.rpmrpm-igitlab-ce-15.9.1-ce.0.el7.x86_64.rpmvim/etc/gitlab/gitlab.rbgitlab-ctl......
  • Gitlab分支管理规范和提交代码规范
    gitlab分支管理规范分支说明:测试代码库共有三个分支,main分支、dev分支、release分支--main分支:存放运行稳定的最新代码,一般不直接将未审核的代码合入到main分支--dev分支:存放个人开发的用例脚本,可用于用例故障修复,新的用例开发等--release分支:对应上线的产品版本,在发布......