首页 > 其他分享 >极狐GitLab 发布安全版本16.10.10, 16.9.11, 16.8.10, 16.7.10, 16.6.10, 16.5.10, 16.4.7, 16.3.9, 16.2.11, 16.1

极狐GitLab 发布安全版本16.10.10, 16.9.11, 16.8.10, 16.7.10, 16.6.10, 16.5.10, 16.4.7, 16.3.9, 16.2.11, 16.1

时间:2024-10-23 10:35:25浏览次数:7  
标签:11 10 16.10 cn gitlab jh GitLab

近期,极狐GitLab 针对 16.x 版本正式推出安全版本 16.10.10, 16.9.11, 16.8.10, 16.7.10, 16.6.10, 16.5.10, 16.4.7, 16.3.9, 16.2.11, 16.1.8, 16.0.10,用来减缓安全漏洞CVE-2024-45409带来的安全风险。

极狐GitLab 正式推出针对 GitLab CE 老旧版本免费用户的 GitLab 专业升级服务https://dl.gitlab.cn/et1zcbjj 】,可以为老旧版本进行专业升级,避免业务宕机。

漏洞详情

标题 严重等级 CVE ID
SAML 认证绕过 严重 CVE-2024-45409

SAML 认证绕过

升级依赖项 omniauth-saml至版本 2.2.1、ruby-saml至 1.17.0,就能够缓解安全漏洞CVE-2024-45409带来的安全风险。此安全漏洞仅适用于已经配置了 SAML 认证的实例。

私有化部署实例:已知的减缓措施

以下两种方式可以成功阻止 CVE-2024-45409 漏洞的暴露:

  1. 开为极狐GitLab 私有化部署实例上的所有用户启双因素认证(注意:开启身份识别提供商的多因素认证并不能起作用)以及
  2. 在极狐GitLab 中不允许使用 SAML 双因素绕过选项

建议的操作

我们强烈建议所有受以下问题描述所影响的安装实例尽快升级到最新版本。当没有指明产品部署类型的时候(omnibus、源代码、helm chart 等),意味着所有的类型都有影响。

对于GitLab/极狐GitLab 私有化部署版的用户,通过将原有的GitLab CE/EE/JH升级至极狐GitLab 16.10.10-jh、16.9.11-jh、16.8.10-jh、16.7.10-jh、16.6.10-jh、16.5.10-jh、16.4.7-jh、16.3.9-jh、16.2.11-jh、16.1.8-jh、16.0.10-jh 版本即可修复该漏洞。

Omnibus 安装

使用 Omnibus 安装部署的实例,升级详情可以查看极狐GitLab 安装包安装升级文档。

Docker 安装

使用 Docker 安装部署的实例,可使用如下容器镜像将产品升级到上述版本:

  • registry.gitlab.cn/omnibus/gitlab-jh:16.10.10-jh.0
  • registry.gitlab.cn/omnibus/gitlab-jh:16.9.11-jh.0
  • registry.gitlab.cn/omnibus/gitlab-jh:16.8.10-jh.0
  • registry.gitlab.cn/omnibus/gitlab-jh:16.7.10-jh.0
  • registry.gitlab.cn/omnibus/gitlab-jh:16.6.10-jh.0
  • registry.gitlab.cn/omnibus/gitlab-jh:16.5.10-jh.0
  • registry.gitlab.cn/omnibus/gitlab-jh:16.4.7-jh.0
  • registry.gitlab.cn/omnibus/gitlab-jh:16.3.9-jh.0
  • registry.gitlab.cn/omnibus/gitlab-jh:16.2.11-jh.0
  • registry.gitlab.cn/omnibus/gitlab-jh:16.1.8-jh.0
  • registry.gitlab.cn/omnibus/gitlab-jh:16.0.10-jh.0

升级详情可以查看极狐GitLab Docker 安装升级文档。

Helm Chart 安装

使用云原生安装的实例,可将使用的 Helm Chart 升级到对应版本来修复该漏洞。升级详情可以查看 Helm Chart 安装升级文档。

JH版本 16.10.10 16.9.11 16.8.10 16.7.10 16.6.10 16.5.10 16.4.7 16.3.9 16.2.11 16.1.8 16.0.10
Helm Chart 版本 7.10.10 7.9.11 7.8.10 7.7.10 7.6.10 7.5.10 7.4.7 7.3.9 7.2.11 7.1.8 7.0.10

可以使用如下几个命令查询任何 JH 所对应的 Helm chart 版本

# 添加 helm repo
helm repo add jh-gitlab https://charts.gitlab.cn/

# 查询版本
helm  search repo jh-gitlab -l | grep JH_VERSION

对于SaaS用户(jihulab.com),无需进行任何操作,我们已经升级SaaS以修复该漏洞。

极狐GitLab 技术支持

极狐GitLab 技术支持团队对付费客户GitLab(基础版/专业版)提供全面的技术支持,您可以通过https://support.gitlab.cn/#/portal/myticket 将问题提交。

免费用户升级需求可以查看极狐GitLab 近期推出的 GitLab 专业升级服务【https://dl.gitlab.cn/et1zcbjj 】。

标签:11,10,16.10,cn,gitlab,jh,GitLab
From: https://www.cnblogs.com/jihugitlab/p/18495810

相关文章

  • 2024.10.23 鲜花
    恋ひ恋ふ縁诚、意地の悪い神の所业か?奇迹?縁?袂触合う不思议花ひとひら揺れて不意に宿ってたうなじ解いてく春风戯れはそこそこに恋手ほどきしてくだしゃんせ汤気にほんのり頬染て夜风に愿ふ…いざ!!蝶と舞ひ花となりて衣を乱して祓いましょうあやなしココロの秽れ…故!!......
  • 10月22日纯血鸿蒙正式版发布意味着什么?
    原生鸿蒙的正式发布,终于在10月22日这晚到来。V哥昨天全程收看了直播,华为常务董事、终端BG董事长、智能汽车解决方案BU董事长余承东介绍,目前已经有超过15000多个鸿蒙原生应用和元服务上架,覆盖18个行业,通用办公应用覆盖全国3800万多家企业。原生鸿蒙降低了接入新系统的难度和成本,流......
  • [考试总结] 2024.10.23 最近的几场考试
    从2024.10.14考图论起。2024.10.14考图论T1转前缀和,跑差分约束或者贪心,贪心用[树状数组、并查集](?)实现。注意前缀和的额外限制(差分约束)、贪心实现的正确性。T2相当于连无向边,两点连通就能得到差。注意到没必要连接两个已经连通的点,于是会形成一棵树。带权并查集或者用......
  • Oracle11g一键巡检脚本(输出HTML格式)
    脚本内容:#!/bin/bash#设置Oracle环境变量exportORACLE_HOME=/u01/app/oracle/product/11.2.0/db_1exportORACLE_SID=orcl11gexportPATH=$ORACLE_HOME/bin:$PATHfunctionseparator(){localLine=Title=Bytes=Xlength=Title="$*"Line='......
  • 10.23
    CF660E长度为\(0\)的子序列的答案就是\(m^n\)。长度为\(k\)的子序列的答案为:\[m^k\sum_{i=k}^n{i-1\choosek-1}(m-1)^{i-k}m^{n-i}\]解释就是:\(m^k\)为这个子序列的样子的方案数,后面枚举的是这个子序列最后一个元素的位置,组合数是选前面\(k-1\)个数的位置。因为......
  • 20241022 校测T1 链链链(chain)题解
    Problem链链链chain你有一个长度为\(n\)的链,编号为\(i(1≤i<n)\)的边连接着结点\(i\)与\(i+1\)。每个结点\(i\)上有一个整数\(a_i\)。你需要做以下操作\(n−1\)次:•选择一条还未被断开的边,设其连接了点\(i\)与\(i+1\),将其断开。•断边后,对于所......
  • Altium Designer10个高效PCB设计技巧大公开
    1、Mil和mm转换快捷键:Q2、标记所有丝印名在使用AltiumDesigner画PCB图的时候,发现元器件的丝印的标号都比器件本身还要大,非常占用空间,默认的字体宽度为0.254mm,高为1.5mm,其实设置成宽为0.15mm,高设置成0.8mm就可以看到,(经验值),那接下来就是如何将PCB板上的所有丝印都改......
  • 洛谷 P2572 [SCOI2010] 序列操作 做题记录
    其实和小白逛公园差不多,编写代码的难度远大于思路难度,难点是调试:注意在区间异或\(1\)的时候分清代码里的最长连续\(1\)的长度和\(1\)的个数。注意查询最长\(1\)的时候要用结构体上传,如果用到了定值len的话要赋值。注意如果只用一个tag的话,遇到区间异或要对原先......
  • MySQL【知识改变命运】11
    联合查询6.⼦查询6.1语法6.2单⾏⼦查询6.3多⾏⼦查询6.4多列⼦查询6.5在from⼦句中使⽤⼦查询7.合并查询7.1创建新表并初始化数据7.2Union7.3Unionall8.插⼊查询结果8.1语法8.2⽰例6.⼦查询⼦查询是把⼀个SELECT语句的结果当做别⼀个SELECT语句的......
  • 2024/10/22人工智能
    AI教案的尝试《荷叶圆圆》小学语文课文教学教案一、教材分析《荷叶圆圆》是小学语文教材中的一篇课文,属于低年级阅读教学内容。本课以荷叶为主题,通过描绘小水珠、小蜻蜓、小青蛙和小鱼儿在荷叶上的活动,展现了夏天的美丽和自然界的和谐,引导学生感受自然之美,培养学生的观察力和想......