極狐GitLab 釋出安全補丁版本 17.4.2, 17.3.5, 17.2.9

极狐GitLab發表於2024-10-16
Gitlab

本分分享極狐GitLab 補丁版本 17.4.2, 17.3.5, 17.2.9 的詳細內容。

極狐GitLab 正式推出面向 GitLab 老舊版本免費使用者的專業升級服務,為 GitLab 老舊版本進行專業升級,詳情可以檢視官網 GitLab 專業升級服務指南

今天,極狐GitLab 專業技術團隊正式釋出了 17.4.2, 17.3.5, 17.2.9 版本。這幾個版本包含重要的缺陷和安全修復程式碼,我們強烈建議所有私有化部署使用者應該立即升級到上述的某一個版本。對於極狐GitLab SaaS,技術團隊已經進行了升級,無需使用者採取任何措施。

漏洞詳情

標題 嚴重程度 CVE ID
在任意分支上執行流水線 嚴重 CVE-2024-9164
攻擊者可以偽裝成任意使用者 CVE-2024-8970
分析儀表盤中的 SSRF 漏洞 CVE-2024-8977
在具有衝突的 MR 中檢視差異(diff)可能會很慢 CVE-2024-9631
OAuth 頁面中的 HTMLi CVE-2024-6530
部署金鑰會推送變更到歸檔倉庫 CVE-2024-9623
訪客(Guests)能夠洩露專案模版 CVE-2024-5005
極狐GitLab 例項版本被洩露給未授權使用者 CVE-2024-9596

CVE-2024-9164

在該漏洞下,可以在任意分支上執行流水線。影響從 12.5 開始到 17.2.9 之前的所有版本、從 17.3 開始到 17.3.5 之前的所有版本以及從 17.4 開始到 17.4.2 之前的所有版本 。這是一個嚴重級別的安全問題(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N, 9.6)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-9164。

CVE-2024-8970

在該漏洞下,攻擊者可以在特定環境下以其他使用者的身份來執行流水線。影響從 11.6 到 17.2.9 之前的所有版本、從 17.3 到 17.3.5 之前的所有版本以及從 17.4 到 17.4.2 之前的所有版本。這是一個高危級別的安全問題(CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N, 8.2)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-8970。

CVE-2024-8977

在該漏洞下,配置且開啟了生產力分析儀表盤的例項可能會遭受 SSRF 攻擊。影響從 15.10 到 17.2.9 之前的所有版本、從 17.3 到 17.3.5 之前的所有版本以及從 17.4 到 17.4.2 之前的所有版本。這是一個高危級別的安全問題(CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N, 8.2)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-8970。

CVE-2024-9631

在該漏洞下,如果在具有衝突的 MR 中檢視差異(diff)就會變得很慢。影響從 13.6 到 17.2.9 之前的所有版本、從 17.3 到 17.3.5 之前的所有版本以及從 17.4 到 17.4.2 之前的所有版本。這是一個高危級別的安全問題(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H, 7.5)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-9631。

CVE-2024-6530

在該漏洞下,在特定情況下,授權一個新應用時,它可能會被渲染為 HTML。影響從 17.1 到 17.2.9 之前的所有版本、從 17.3 到 17.3.5 之前的所有版本以及從 17.4 到 17.4.2 之前的所有版本。這是一個高危級別的安全問題(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N, 7.3)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-6530。

CVE-2024-9623

在該漏洞下,允許部署金鑰向歸檔倉庫推送變更。影響從 8.16 到 17.2.9 之前的所有版本、從 17.3 到 17.3.5 之前的所有版本以及從 17.4 到 17.4.2 之前的所有版本。這是一箇中等級別的安全問題(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N, 7.3)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-9623。

CVE-2024-5005

在該漏洞下,訪客可能會使用 API 來洩露專案模版。影響從 11.4 到 17.2.9 之前的所有版本、從 17.3 到 17.3.5 之前的所有版本以及從 17.4 到 17.4.2 之前的所有版本。這是一箇中等級別的安全問題(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N, 4.3)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-5005。

CVE-2024-9596

在漏洞下,極狐GitLab 的版本資訊可能會洩露給未授權的使用者。影響從 16.6 到 17.2.9 之前的所有版本、從 17.3 到 17.3.5 之前的所有版本以及從 17.4 到 17.4.2 之前的所有版本。這是一個低等級別的安全問題(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N, 3.7)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-9596。

受影響版本

CVE-2024-9164

  • 12.5 <= GitLab CE/EE/JH < 17.2.9
  • 17.3 <= GitLab CE/EE/JH < 17.3.5
  • 17.4 <= GitLab CE/EE/JH < 17.4.2

CVE-2024-8970

  • 11.6 <= GitLab CE/EE/JH < 17.2.9
  • 17.3 <= GitLab CE/EE/JH < 17.3.5
  • 17.4 <= GitLab CE/EE/JH < 17.4.2

CVE-2024-8977

  • 15.10 <= GitLab CE/EE/JH < 17.2.9
  • 17.3 <= GitLab CE/EE/JH < 17.3.5
  • 17.4 <= GitLab CE/EE/JH < 17.4.2

CVE-2024-9631

  • 13.6 <= GitLab CE/EE/JH < 17.2.9
  • 17.3 <= GitLab CE/EE/JH < 17.3.5
  • 17.4 <= GitLab CE/EE/JH < 17.4.2

CVE-2024-6530

  • 17.1 <= GitLab CE/EE/JH < 17.2.9
  • 17.3 <= GitLab CE/EE/JH < 17.3.5
  • 17.4 <= GitLab CE/EE/JH < 17.4.2

CVE-2024-9623

  • 8.16 <= GitLab CE/EE/JH < 17.2.9
  • 17.3 <= GitLab CE/EE/JH < 17.3.5
  • 17.4 <= GitLab CE/EE/JH < 17.4.2

CVE-2024-5005

  • 11.4 <= GitLab CE/EE/JH < 17.2.9
  • 17.3 <= GitLab CE/EE/JH < 17.3.5
  • 17.4 <= GitLab CE/EE/JH < 17.4.2

CVE-2024-9596

  • 16.6 <= GitLab CE/EE/JH < 17.2.9
  • 17.3 <= GitLab CE/EE/JH < 17.3.5
  • 17.4 <= GitLab CE/EE/JH < 17.4.2

建議的操作

我們強烈建議所有受以下問題描述所影響的安裝例項儘快升級到最新版本。當沒有指明產品部署型別的時候(omnibus、原始碼、helm chart 等),意味著所有的型別都有影響。

對於GitLab/極狐GitLab 私有化部署版的使用者,透過將原有的GitLab CE/EE/JH升級至極狐GitLab
17.4.2-jh、17.3.5-jh、17.2.9-jh 版本即可修復該漏洞。詳情可以檢視極狐GitLab 官網

  • Omnibus 安裝

使用 Omnibus 安裝部署的例項,升級詳情可以檢視極狐GitLab 安裝包安裝升級文件。

  • Docker 安裝

使用 Docker 安裝部署的例項,可使用如下三個容器映象將產品升級到上述三個版本:

registry.gitlab.cn/omnibus/gitlab-jh:17.4.2-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.3.3-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.2.9-jh.0

升級詳情可以檢視極狐GitLab Docker 安裝升級文件。

  • Helm Chart 安裝

使用雲原生安裝的例項,可將使用的 Helm Chart 升級到 8.4.1(對應 17.4.1-jh)、8.3.4(對應 17.3.4-jh)、8.2.8(對應 17.2.8-jh)、8.0.8(對應 17.0.8)以及 7.11.10(對應 16.11.10)來修復該漏洞。升級詳情可以檢視 Helm Chart 安裝升級文件。

JH 版本 17.4.2 17.3.5 17.2.9
Chart 版本 8.4.2 8.3.5 8.2.9

對於SaaS使用者(jihulab.com),無需進行任何操作,我們已經升級SaaS以修復該漏洞。

極狐GitLab 技術支援

極狐GitLab 技術支援團隊對付費客戶GitLab(基礎版/專業版)提供全面的技術支援,您可以透過https://support.gitlab.cn/#/portal/myticket將問題提交。

如果您是免費使用者,在升級過程中遇到任何問題,可以檢視最新推出的GitLab 專業升級服務 獲取專業服務!

新版本修復的缺陷

17.4.2

  • 回溯:修復:在 17-4-stable 中為 SCHEMA_VERSIONS_DIR 指定絕對目錄
  • 回溯:修復:在 17.4 中將 grpc-go 從舊版本升級到 v1.67.1
  • 在 enable_advanced_sast_spec.rb 中更新預期的漏洞
  • 跳過穩定分支合併請求的多版本升級作業
  • 回溯:17.4 中修復了在查詢時候透過名稱來進行標籤過濾
  • 在 ci_deleted_objects 中刪除 project_id 不能為 null 的約束
  • [回溯] Go-get:修復未經認證請求的 401 錯誤

17.3.5

  • 回溯:修復:在 17-3-stable 中為 SCHEMA_VERSIONS_DIR 指定絕對目錄
  • 回溯:修復:在 17.3 中允許非 root 使用者執行 bundle-certificates 指令碼
  • 跳過穩定分支合併請求的多版本升級作業。
  • 確保受限的可見性級別是一個陣列 - 17.2 版本回溯

17.2.9

  • 跳過穩定分支合併請求的多版本升級作業
  • 確保受限的可見性級別是一個陣列 - 17.2 版本回溯

相關文章