近期,極狐GitLab 正式推出安全版本 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10,用來減緩安全漏洞CVE-2024-45409帶來的安全風險。
極狐GitLab 正式推出針對 GitLab CE 老舊版本免費使用者的 GitLab 專業升級服務【https://dl.gitlab.cn/et1zcbjj】,可以為老舊版本進行專業升級,避免業務當機。
漏洞詳情
| 標題 | 嚴重等級 | CVE ID |
|---|---|---|
| SAML 認證繞過 | 嚴重 | CVE-2024-45409 |
SAML 認證繞過
升級依賴項 omniauth-saml至版本 2.2.1、ruby-saml至 1.17.0,就能夠緩解安全漏洞CVE-2024-45409帶來的安全風險。此安全漏洞僅適用於已經配置了 SAML 認證的例項。
私有化部署例項:已知的減緩措施
以下兩種方式可以成功阻止 CVE-2024-45409 漏洞的暴露:
- 開為極狐GitLab 私有化部署例項上的所有使用者啟雙因素認證(注意:開啟身份識別提供商的多因素認證並不能起作用)以及
- 在極狐GitLab 中不允許使用 SAML 雙因素繞過選項
建議的操作
我們強烈建議所有受以下問題描述所影響的安裝例項儘快升級到最新版本。當沒有指明產品部署型別的時候(omnibus、原始碼、helm chart 等),意味著所有的型別都有影響。
對於GitLab/極狐GitLab 私有化部署版的使用者,透過將原有的GitLab CE/EE/JH升級至極狐GitLab 17.3.3-jh、17.2.7-jh、17.1.8-jh、17.0.8-jh、16.11.10-jh 版本即可修復該漏洞。
Omnibus 安裝
使用 Omnibus 安裝部署的例項,升級詳情可以檢視極狐GitLab 安裝包安裝升級文件。
Docker 安裝
使用 Docker 安裝部署的例項,可使用如下容器映象將產品升級到上述版本:
- registry.gitlab.cn/omnibus/gitlab-jh:17.3.3-jh.0
- registry.gitlab.cn/omnibus/gitlab-jh:17.2.7-jh.0
- registry.gitlab.cn/omnibus/gitlab-jh:17.1.8-jh.0
- registry.gitlab.cn/omnibus/gitlab-jh:17.0.8-jh.0
- registry.gitlab.cn/omnibus/gitlab-jh:16.11.10-jh.0
升級詳情可以檢視極狐GitLab Docker 安裝升級文件。
Helm Chart 安裝
使用雲原生安裝的例項,可將使用的 Helm Chart 升級到對應版本來修復該漏洞。升級詳情可以檢視 Helm Chart 安裝升級文件。
| JH版本 | 17.3.3 | 17.2.7 | 17.1.8 | 17.0.8 | 16.11.10 |
|---|---|---|---|---|---|
| Helm Chart 版本 | 8.3.3 | 8.2.7 | 8.1.8 | 8.0.8 | 7.11.10 |
可以使用如下幾個命令查詢任何 JH 所對應的 Helm chart 版本
# 新增 helm repo
helm repo add jh-gitlab https://charts.gitlab.cn/
# 查詢版本
helm search repo jh-gitlab -l | grep JH_VERSION
對於SaaS使用者(jihulab.com),無需進行任何操作,我們已經升級SaaS以修復該漏洞。
極狐GitLab 技術支援
極狐GitLab 技術支援團隊對付費客戶GitLab(基礎版/專業版)提供全面的技術支援,您可以透過https://support.gitlab.cn/#/portal/myticket將問題提交。
免費使用者升級需求可以檢視極狐GitLab 近期推出的 GitLab 專業升級服務【https://dl.gitlab.cn/et1zcbjj】。