極狐GitLab 正式對外推出 GitLab 專業升級服務! 專業的技術人員為您的 GitLab 老舊版本例項進行專業升級!服務詳情可以在官網檢視詳細解讀!
那些因為老舊版本而被攻擊的例子
話不多說,直接上圖,看一個活生生的例子: 因為安全漏洞,GitLab 被攻擊!
圖中的使用者使用了 GitLab 社群版(GitLab CE),即使在沒有開放外網的情況下也被安全漏洞所攻擊,從而導致 GitLab 例項不可用,給企業帶來了很大的問題。這種問題不是個例,GitLab 在國內有數百萬使用者,安裝的例項數以十萬計,如果使用者使用的版本過低、過舊,那麼遭受安全攻擊的風險就越大,上面的例子就會越來越多!
什麼是 GitLab老舊版本?
GitLab 的版本釋出機制嚴格遵循 Semantic Versioning,即:主版本號、次版本號和修訂號,也即 Major.Minor.Patch。不同版本的釋出頻率如下圖:
| 版本號型別 | 版本說明 | 發版週期 |
|---|---|---|
| 主版本號(Major) | 重大功能更新或不相容的變更 | 按年釋出 |
| 次版本號(Minor) | 次要功能更新或相容的變更 | 按月釋出 |
| 修訂號(Patch) | 功能缺陷或者安全漏洞修復 | 按需釋出 |
- 對於安全版本的支援
預設情況下,官方只提供最近兩個 Minor Release 的安全漏洞修復。
比如,現在最新的版本為 17.4,在發現安全問題以後,官方會發布安全補丁版本,安全補丁版本只會覆蓋 17.2、17.3 以及 17.4。對於 17.2 以前的版本不提供安全補丁版本,使用者需要升級到最近或者最新的安全版本來減緩安全風險。
- 對於版本的官方技術支援策略
預設情況下,官方只提供最近兩個 Major Release 的官方技術支援。
比如當前最新的 Major 為 17,那麼官方提供的技術支援只覆蓋 15、16 以及 17 版本。對於 15 以前的版本,官方已經不再提供技術支援,使用者在遇到問題以後,需要升級到最近或者最新的安全版本來減緩安全風險。
一表看懂老舊版本的釋出時間:
| 版本 | 11.x 及以前 | 12.x | 13.x | 14.x | 15.x | 16.x |
|---|---|---|---|---|---|---|
| 年份(釋出時間) | 2018 年及以前 | 2019年 | 2020年 | 2021年 | 2022年 | 2023年 |
| 關於每個版本包含的安全漏洞,可以在 GitLab 官方網站進行查詢。 |
個別高危漏洞解讀
- CVE-2024-45409
○ 該漏洞在2024年9月份被披露,能夠允許攻擊者以任意使用者身份登入易受攻擊的系統;
○ 嚴重等級嚴重;
○ 影響版本:17.3.3 及之前的版本 - CVE-2021-22192
○ 該漏洞在 2021年2月份被披露,能夠允許未經授權的使用者在 GitLab 伺服器上執行任意程式碼
○ 嚴重等級嚴重;
○ 影響的版本:GitLab 13.2 及之前的所有版本; - CVE-2019-15749
○ 該漏洞在2019年9月份被披露,這是一個 SSRF 漏洞,允許攻擊者透過 GitLab 的某些功能繞過伺服器的網路隔離,傳送任意 HTTP 請求到內部網路或敏感服務,從而獲取到伺服器內部的敏感資訊或進行其他型別的攻擊;
○ 嚴重等級高危;
○ 影響版本:GitLab 12.4 及之前的所有版本; - CVE-2018-19571
○ 該漏洞在2018年12月份被披露,能夠允許攻擊者讀取伺服器上的任意檔案,從而導致敏感資訊洩露。
○ 嚴重等級嚴重;
○ 影響的版本:GitLab 11.4、11.5 及之前的版本
因此,對於老舊版本,存在安全漏洞、缺乏企業技術支援等問題,這些問題帶來的後果是很嚴重的!
老舊版本不升級,有哪些嚴重後果?
先說結論:任何產品的安全漏洞,一旦被攻擊者利用,會帶來直接 + 間接的損失。直接損失包括攻擊者索要的贖金、監管部門的罰款等;間接損失包括客戶的流失、企業名譽的受損等。最終的結果一定是企業經濟和聲譽的雙重損失。這些損失的深層次原因有:
敏感資料遭竊取的高危風險
版本越老舊(比如12、13,甚至12 以下),存在的安全問題就越多,因為時間越長,被挖掘的安全漏洞就越多。有一些高危漏洞是與身份識別相關的,使用者可能繞過既有的認證授權機制,直接獲取例項的訪問許可權,這種情況下,攻擊者要乾的第一件事情肯定是獲取與使用者相關的機密資訊,因為各個國家對於使用者個人資訊管理都有很嚴格的法律法規,竊取這些資訊之後,企業很大機率就得“支付資料贖金”,而這種資料一旦洩露,客戶的信任也隨之流失,對於企業來講可以說是“客財兩失”,遭遇滅頂之災!
篡改程式碼,構建軟體供應鏈攻擊
軟體供應鏈安全攻擊事件這些年頻發,而且發展態勢也從利用已知漏洞進行攻擊演變為主動在上游“埋入”攻擊點,一旦攻擊形成,就會造成嚴重後果,比如近些年聽過的 NPM 投毒事件、Log4j 事件等。對於 GitLab 安全漏洞來講,如果沒有及時升級,相關漏洞可被攻擊者利用,如果攻擊者繞過認證系統,冒充企業內部使用者對託管的程式碼進行篡改,在產品交付給客戶以後,攻擊者開始利用提前埋入的漏洞進行攻擊,那後果將不可設想。設想一下,如果是一個資料庫企業,給成百上千的客戶提供了被埋入漏洞的資料庫,漏洞發生爆炸後,這個爆炸半徑何其巨大!
業務中斷,影響企業研發進度
在安全漏洞被攻擊者利用以後,往往會在竊取資料後索要“贖金”,在問題解決以前,是不可能也不敢再用該系統進行業務研發,業務就會被迫中斷,如果是一個大幾百人甚至上千人的研發團隊發生了業務停擺,這個損失將是巨大的。如果停擺影響了給客戶的交付進度,這種損失將會是雙倍的!
法律監管與企業聲譽受損
前面提到了,每個國家對於使用者資訊的管理都有很嚴格的法律法規,諸如中國的《個人資訊保護法》、歐盟的 GDPR 等。安全攻擊導致的使用者資訊洩露落到企業身上,就是違反法律法規,面臨的將會是鉅額的罰款。相信很多人都聽過諸如蘋果、Meta、Google 都因為違反 GDPR 被罰款數千萬甚至數億美元。
一言以蔽之老舊版本不升級,企業受損倒數計時!
極狐GitLab 專業升級服務
為了更好的幫助使用老舊 GitLab/極狐GitLab 版本的免費使用者透過將例項升級到最新版本來加強例項安全防護,極狐GitLab 正式推出 GitLab專業升級服務。服務詳情如下:
服務受眾
使用 GitLab 老舊版本的免費使用者,諸如使用 12.x、13.x、14.x、15.x 的使用者。
服務收益
專業保障,安全升級
極狐(GitLab)提供穩健可靠的升級服務,確保您的系統無縫升級,始終保持最新。我們透過嚴格的流程和專業的團隊,保障升級過程零風險、零中斷,讓您的業務始終平穩執行。
省心省力,降低成本
透過極狐(GitLab) ,您無需再為複雜的升級流程操心。我們的團隊全程負責,從計劃到實施,免除您內部 IT 團隊的繁瑣工作。
○ 省心:極狐團隊提供一站式服務,確保快速、無憂的安全補丁應用。
○ 省力:無需投入額外資源,極狐讓您的升級過程更高效。
○ 省錢:透過一次升級,解決長期安全隱患,避免因為系統漏洞導致的業務損失。
企業功能,免費體驗
我們還為您提供企業版免費試用,讓您充分體驗極狐GitLab 企業級功能的高效、全面管理。並提供專業的培訓和試用指導,進一步提升團隊協作與生產力。
聯絡我們
如果您還在使用 GitLab 老舊版本,而且急需升級服務,可以檢視https://gitlab.cn/resources/articles/7e9d346f0af645bcae17691a50491d33!
本文由部落格群發一文多發等運營工具平臺 OpenWrite 釋出