极狐GitLab 发布安全补丁版本17.5.1, 17.4.3, 17.3.6

极小狐2024-10-29 15:58

本分分享极狐GitLab 补丁版本 17.5.1, 17.4.3, 17.3.6 的详细内容。这几个版本包含重要的缺陷和安全修复代码,我们强烈建议所有私有化部署用户应该立即升级到上述的某一个版本。对于极狐GitLab SaaS,技术团队已经进行了升级,无需用户采取任何措施。

极狐GitLab 正式推出针对 GitLab CE 老旧版本免费用户的 GitLab 专业升级服务https://dl.gitlab.cn/cm33bsfv】, 可以为老旧版本进行专业升级

漏洞详情

标题 严重等级 CVE ID
全局搜索中的 HTML 注入可能会导致 XSS 攻击 高危 CVE-2024-8312
通过 XML 清单文件导入引发的 DoS 攻击 中等 CVE-2024-6826

CVE-2024-8312

在该漏洞下,攻击者可以在差异视图的全局搜索字段中注入HTML,导致跨站脚本攻击(XSS)。影响从 15.10 开始到 17.3.6 之前的所有版本、从 17.4 开始到 17.4.3 之前的所有版本以及从 17.5 开始到 17.5.1 之前的所有版本 。这是一个高危级别的安全问题(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N, 8.7https://gitlab-com.gitlab.io/gl-security/product-security/appsec/cvss-calculator/explain#explain=CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2024-8312。

CVE-2024-6826

在该漏洞下,攻击者通过导入恶意制作的XML清单文件,可能会发生拒绝服务攻击(DoS)。影响从 11.2 开始到 17.3.6 之前的所有版本、从 17.4 开始到 17.4.3 之前的所有版本以及从 17.5 开始到 17.5.1 之前的所有版本 。这是一个中等级别的安全问题(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2024-6826。

影响版本

CVE-2024-8312

  • 15.10 <= GitLab CE/EE/JH < 17.3.6
  • 17.4 <= GitLab CE/EE/JH < 17.4.3
  • 17.5 <= GitLab CE/EE/JH < 17.5.1

CVE-2024-6826

  • 11.2 <= GitLab CE/EE/JH < 17.3.6
  • 17.4 <= GitLab CE/EE/JH < 17.4.3
  • 17.5 <= GitLab CE/EE/JH < 17.5.1

建议的操作

我们强烈建议所有受以下问题描述所影响的安装实例尽快升级到最新版本。当没有指明产品部署类型的时候(omnibus、源代码、helm chart 等),意味着所有的类型都有影响。

对于GitLab/极狐GitLab 私有化部署版的用户,通过将原有的GitLab CE/EE/JH升级至极狐GitLab 17.5.1-jh、17.4.3-jh、17.3.6-jh 版本即可修复该漏洞。详情可以查看极狐GitLab 官网

Omnibus 安装

使用 Omnibus 安装部署的实例,升级详情可以查看极狐GitLab 安装包安装升级文档。

Docker 安装

使用 Docker 安装部署的实例,可使用如下三个容器镜像将产品升级到上述三个版本:

升级详情可以查看极狐GitLab Docker 安装升级文档。

Helm Chart 安装

使用云原生安装的实例,可将使用的 Helm Chart 升级到 8.5.1(对应 17.5.1-jh)、8.4.3(对应 17.4.3-jh)、17.3.6(对应 17.2.8-jh)来修复该漏洞。升级详情可以查看 Helm Chart 安装升级文档。

JH 版本 17.5.1 17.4.3 17.3.6
Chart 版本 8.5.1 8.4.3 8.3.6

对于SaaS用户(jihulab.com),无需进行任何操作,我们已经升级SaaS以修复该漏洞。

极狐GitLab 技术支持

极狐GitLab 技术支持团队对付费客户GitLab(基础版/专业版)提供全面的技术支持,您可以通过https://support.gitlab.cn/#/portal/myticket 将问题提交。

免费用户升级需求可以查看极狐GitLab 近期推出的 GitLab 专业升级服务https://dl.gitlab.cn/cm33bsfv】。

相关推荐
周杰伦_Jay2 小时前
详细介绍:云原生技术细节(关键组成部分、优势和挑战、常用云原生工具)
java·云原生·容器·架构·kubernetes·jenkins·devops
Nejosi_念旧3 天前
开发常用工具
flutter·vue·gitlab·postman
yaoshengting4 天前
GitLab集成Jira
gitlab·jira
张声录15 天前
【Gossip 协议】Golang的实现库Memberlist 库简介
开发语言·后端·golang·运维开发·prometheus·devops
mrhaoxiaojun6 天前
gitlab runner正常连接 提示 作业挂起中,等待进入队列 解决办法
gitlab
铜锣烧1号6 天前
【学习笔记】GitLab 使用技巧和说明和配置和使用方法
git·python·pycharm·gitlab
极小狐6 天前
如何在 Rocky Linux 上安装极狐GitLab?
gitlab·devsecops·devops·极狐gitlab·安全合规
研究司马懿6 天前
【DevOps】Jenkins配置钉钉邮件通知
运维·pipeline·jenkins·钉钉·devops
ihengshuai6 天前
手摸手实战前端项目CI CD
前端·ci/cd·云原生·kubernetes·devops
ihengshuai7 天前
Gitlab搭建npm仓库
前端·docker·npm·gitlab
热门推荐
01xgboost: Why not implement distributed XGBoost on top of spark02Dell服务器升级ubuntu 22.04失败解决03半导体应用系统一些小知识收集(strip&wafer mapping,EAP&scada)04密码学原理技术-第六章-introduction to pulibc-key cryptography05(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明06优化手机性能,解决卡顿问题:关闭这3个微信开关,释放内存空间07centos7 init.d 和system.d08Windows10安装PCL1.14.0及点云配准09渗透测试之SQLMAP工具详解 kali自带SQLmap解释 重点sqlmap --tamper 使用方式详解 搞完你就很nice了10ChatGPT + Stable Diffusion + 百度AI + MoviePy 实现文字生成视频,小说转视频,自媒体神器!(二)