Ruby-SAML CVE-2024-45409 漏洞解决方案

GitLab 是一个全球知名的一体化 DevOps 平台,很多人都通过私有化部署 GitLab 来进行源代码托管。极狐GitLab 是 GitLab 在中国的发行版,专门为中国程序员服务。可以一键式部署极狐GitLab。

学习极狐GitLab 的相关资料:

  1. 极狐GitLab 官网
  2. 极狐GitLab 官网文档
  3. 极狐GitLab 论坛
  4. 极狐GitLab 安装配置

漏洞描述

CVE-2024-45409 漏洞是由 Ruby SAML 库引起的。Ruby SAML 库是用于实现 SAML 授权的客户端。12.2 及以下的所有版本、1.13.0 到 1.16.0 之间的 Ruby-SAML 版本都受此影响。这些版本不能够正确验证 SAML 响应的签名。因此,具有访问任何身份提供者(IdP)签署的 SAML 文档的未经身份验证的攻击者可以伪造包含任意内容的 SAML 响应/断言。这将允许攻击者以任意用户身份登录到易受攻击的系统中。此漏洞在 1.17.0 和 1.12.3 版本中已修复。

标题 严重性
SAML 认证绕过 严重

对于极狐GitLab 的影响

由于极狐GitLab 是基于 Ruby 的,因此极狐GitLab 受此漏洞的影响。在漏洞被披露以后,极狐GitLab 专业技术团队很快就发布了安全版本极狐GitLab 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10。官方强烈建议所有的私有化部署用户应立即升级到上述推荐的某一个版本。对于极狐GitLab SaaS(JihuLab.com)来讲,专业的技术团队已经进行了升级。

升级指南

对于GitLab/极狐GitLab 私有化部署版的用户,通过将原有的GitLab CE/EE/JH升级至极狐GitLab

17.3.3-jh、17.2.7-jh、17.1.8-jh、17.0.8-jh、16.11.10-jh 版本即可修复该漏洞。详请可以查看极狐GitLab 官网

Omnibus 安装

使用 Omnibus 安装部署的实例,升级详情可以查看极狐GitLab 安装包安装升级文档

Docker 安装

使用 Docker 安装部署的实例,可使用如下三个容器镜像将产品升级到上述三个版本:

升级详情可以查看极狐GitLab Docker 安装升级文档

Helm Chart 安装

使用云原生安装的实例,可将使用的 Helm Chart 升级到 8.3.3(对应 17.3.3-jh)、8.2.7(对应 17.2.7-jh)、8.1.8(对应 17.1.8-jh)、8.0.8(对应 17.0.8)以及 7.11.10(对应 16.11.10)来修复该漏洞。升级详情可以查看 Helm Chart 安装升级文档

JH 版本 17.3.3 17.2.7 17.1.8 17.0.8 16.11.10
Chart 版本 8.3.3 8.2.7 8.1.8 8.0.8 7.11.10

对于SaaS用户(jihulab.com),无需进行任何操作,我们已经升级SaaS以修复该漏洞。

极狐GitLab技术支持

极狐GitLab 技术支持团队对付费客户GitLab(基础版/专业版)提供全面的技术支持,您可以通过https://support.gitlab.cn/#/portal/myticket将问题提交。

如果您是免费用户,在升级过程中遇到任何问题,可以在极狐GitLab 官网找到联系方式联系官方技术专家。

相关推荐
Kkooe14 小时前
GitLab|GitLab报错:Restoring PostgreSQL database gitlabhq_production...
gitlab
小柒xq1 天前
使用docker compose安装部署gitlab
docker·容器·gitlab
桥豆麻袋93932 天前
Sourcetree登录GitLab账号
linux·服务器·gitlab
XMYX-02 天前
深入理解 DevOps:从理念到实践
运维·devops
cronaldo912 天前
研发效能DevOps: Vite 使用 Axios 实现数据双向绑定
vue.js·vue·devops
联蔚盘云2 天前
阿里云 DevOps 资源安全扫描实践
安全·阿里云·devops
落非2 天前
kubesphere问题处理:devops
运维·devops
活宝小娜3 天前
标题gitLab如何打标签
gitlab
东方不败之鸭梨的测试笔记3 天前
如何建立devops?
java·运维·devops
运维&陈同学3 天前
【第三章】Python基础之元组tuple
linux·开发语言·python·运维开发·devops