極狐GitLab 釋出安全補丁版本 17.4.1、17.3.4、17.2.8

极狐GitLab發表於2024-10-08
Gitlab

本分分享極狐GitLab 補丁版本17.4.1、17.3.4、17.2.8 的詳細內容。

極狐GitLab 為 GitLab 的中文發行版,中文版本對中國使用者更友好,關於極狐GitLab 的一鍵私有化部署詳情可以檢視官網指南 https://dl.gitlab.cn/0pi5jxls

近期,極狐GitLab 專業技術團隊正式釋出了 17.4.1、17.3.4、17.2.8 版本。這幾個版本包含重要的缺陷和安全修復程式碼,我們強烈建議所有私有化部署使用者應該立即升級到上述的某一個版本。對於極狐GitLab SaaS,技術團隊已經進行了升級,無需使用者採取任何措施。

漏洞詳情

標題 嚴重程度 嚴重程度
維護者可以透過精心構造的POST請求,然後透過更改Dependency Proxy URL來洩露Dependency Proxy密碼 CVE-2024-4278
專案引用被暴露在系統註釋中 CVE-2024-8974

CVE-2024-4278

  • 維護者可以透過精心構造的POST請求,透過更改Dependency Proxy URL來洩露Dependency Proxy密碼

在極狐GitLab 上發現了一個資訊暴露問題,這影響了 16.5 到 17.2.8、17.3 到 17.3.4 以及 17.4 和 17.4.1 版本。維護者可以透過精心構造一個 POST 請求,然後透過編輯特定的 Dependency Proxy 設定來獲取 Dependency Proxy 的密碼。這是一箇中等風險的安全問題(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N, 5.5)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-4278。

CVE-2024-8974

  • 專案引用被暴露在系統註釋中

在極狐GitLab 上發現了一個資訊暴露問題,這影響了 15.6 到 17.2.8、17.3 到 17.3.4 以及 17.4 和 17.4.1 版本。在特定的條件下有可能將私有專案的路徑洩露給未授權的使用者。這是一個低等風險的安全問題(CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N, 2.6)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-8974。

受影響版本

CVE-2024-4278

  • 16.5 <= GitLab CE/EE/JH < 17.2.8
  • 17.3 <= GitLab CE/EE/JH < 17.3.4
  • 17.4 <= GitLab CE/EE/JH < 17.4.1

CVE-2024-8974

  • 15.6 <= GitLab CE/EE/JH < 17.2.8
  • 17.3 <= GitLab CE/EE/JH < 17.3.4
  • 17.4 <= GitLab CE/EE/JH < 17.4.1

建議的操作

我們強烈建議所有受以下問題描述所影響的安裝例項儘快升級到最新版本。當沒有指明產品部署型別的時候(omnibus、原始碼、helm chart 等),意味著所有的型別都有影響。

對於GitLab/極狐GitLab 私有化部署版的使用者,透過將原有的GitLab CE/EE/JH升級至極狐GitLab
17.4.1-jh、17.3.4-jh、17.2.8-jh 版本即可修復該漏洞。詳情可以檢視極狐GitLab 官網

  • Omnibus 安裝

使用 Omnibus 安裝部署的例項,升級詳情可以檢視極狐GitLab 安裝包安裝升級文件

  • Docker 安裝

使用 Docker 安裝部署的例項,可使用如下三個容器映象將產品升級到上述三個版本:

  • registry.gitlab.cn/omnibus/gitlab-jh:17.4.1-jh.0
  • registry.gitlab.cn/omnibus/gitlab-jh:17.3.4-jh.0
  • registry.gitlab.cn/omnibus/gitlab-jh:17.2.8-jh.0

升級詳情可以檢視極狐GitLab Docker 安裝升級文件

  • Helm Chart 安裝

使用雲原生安裝的例項,可將使用的 Helm Chart 升級到 8.4.1(對應 17.4.1-jh)、8.3.4(對應 17.3.4-jh)、8.2.8(對應 17.2.8-jh)、8.0.8(對應 17.0.8)以及 7.11.10(對應 16.11.10)來修復該漏洞。升級詳情可以檢視 Helm Chart 安裝升級文件

JH 版本 17.4.1 17.3.4 17.2.8
Chart 版本 8.4.1 8.3.4 8.2.8

對於SaaS使用者(jihulab.com),無需進行任何操作,我們已經升級SaaS以修復該漏洞。

極狐GitLab 技術支援

極狐GitLab 技術支援團隊對付費客戶GitLab(基礎版/專業版)提供全面的技術支援,您可以透過https://support.gitlab.cn/#/portal/myticket將問題提交。

如果您是免費使用者,在升級過程中遇到任何問題,可以在我們的官方論壇 https://forum.gitlab.cn 上發帖,或者在官網首頁 https://gitlab.cn 的聯絡方式聯絡我們

新版本修復的缺陷

17.4.1

  • 改進了 OpenSSL 呼叫訊息
  • 將API專案/:id/share的緊急性更改為低
  • 對議題關閉模式設定進行提交資訊檢查
  • 回滾:修復 VR 按鈕顯示不正確的問題
  • 回滾:在 17.4 中修復了不正確的 gitlab-shell-check 檔名稱
  • 對於 OpenSSL v3 的呼叫延期到了極狐GitLab 17.7

17.3.4

  • 改進了 OpenSSL 呼叫訊息
  • 對於 OpenSSL v3 的呼叫延期到了極狐GitLab 17.7

17.2.8

  • 改進了 OpenSSL 呼叫訊息
  • 對於 OpenSSL v3 的呼叫延期到了極狐GitLab 17.7

相關文章