極狐GitLab 釋出安全補丁版本17.5.1, 17.4.3, 17.3.6

极狐GitLab發表於2024-10-28
Gitlab

本分分享極狐GitLab 補丁版本 17.5.1, 17.4.3, 17.3.6 的詳細內容。這幾個版本包含重要的缺陷和安全修復程式碼,我們強烈建議所有私有化部署使用者應該立即升級到上述的某一個版本。對於極狐GitLab SaaS,技術團隊已經進行了升級,無需使用者採取任何措施。

極狐GitLab 正式推出針對 GitLab CE 老舊版本免費使用者的 GitLab 專業升級服務https://dl.gitlab.cn/et1zcbjj】, 可以為老舊版本進行專業升級

漏洞詳情

標題 嚴重等級 CVE ID
全域性搜尋中的 HTML 注入可能會導致 XSS 攻擊 高危 CVE-2024-8312
透過 XML 清單檔案匯入引發的 DoS 攻擊 中等 CVE-2024-6826

CVE-2024-8312

在該漏洞下,攻擊者可以在差異檢視的全域性搜尋欄位中注入HTML,導致跨站指令碼攻擊(XSS)。影響從 15.10 開始到 17.3.6 之前的所有版本、從 17.4 開始到 17.4.3 之前的所有版本以及從 17.5 開始到 17.5.1 之前的所有版本 。這是一個高危級別的安全問題(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N, 8.7https://gitlab-com.gitlab.io/gl-security/product-security/appsec/cvss-calculator/explain#explain=CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-8312。

CVE-2024-6826

在該漏洞下,攻擊者透過匯入惡意製作的XML清單檔案,可能會發生拒絕服務攻擊(DoS)。影響從 11.2 開始到 17.3.6 之前的所有版本、從 17.4 開始到 17.4.3 之前的所有版本以及從 17.5 開始到 17.5.1 之前的所有版本 。這是一箇中等級別的安全問題(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-6826。

影響版本

CVE-2024-8312

  • 15.10 <= GitLab CE/EE/JH < 17.3.6
  • 17.4 <= GitLab CE/EE/JH < 17.4.3
  • 17.5 <= GitLab CE/EE/JH < 17.5.1

CVE-2024-6826

  • 11.2 <= GitLab CE/EE/JH < 17.3.6
  • 17.4 <= GitLab CE/EE/JH < 17.4.3
  • 17.5 <= GitLab CE/EE/JH < 17.5.1

建議的操作

我們強烈建議所有受以下問題描述所影響的安裝例項儘快升級到最新版本。當沒有指明產品部署型別的時候(omnibus、原始碼、helm chart 等),意味著所有的型別都有影響。

對於GitLab/極狐GitLab 私有化部署版的使用者,透過將原有的GitLab CE/EE/JH升級至極狐GitLab 17.5.1-jh、17.4.3-jh、17.3.6-jh 版本即可修復該漏洞。詳情可以檢視極狐GitLab 官網

Omnibus 安裝

使用 Omnibus 安裝部署的例項,升級詳情可以檢視極狐GitLab 安裝包安裝升級文件。

Docker 安裝

使用 Docker 安裝部署的例項,可使用如下三個容器映象將產品升級到上述三個版本:

  • registry.gitlab.cn/omnibus/gitlab-jh:17.5.1-jh.0
  • registry.gitlab.cn/omnibus/gitlab-jh:17.4.3-jh.0
  • registry.gitlab.cn/omnibus/gitlab-jh:17.3.6-jh.0

升級詳情可以檢視極狐GitLab Docker 安裝升級文件。

Helm Chart 安裝

使用雲原生安裝的例項,可將使用的 Helm Chart 升級到 8.5.1(對應 17.5.1-jh)、8.4.3(對應 17.4.3-jh)、17.3.6(對應 17.2.8-jh)來修復該漏洞。升級詳情可以檢視 Helm Chart 安裝升級文件。

JH 版本 17.5.1 17.4.3 17.3.6
Chart 版本 8.5.1 8.4.3 8.3.6

對於SaaS使用者(jihulab.com),無需進行任何操作,我們已經升級SaaS以修復該漏洞。

極狐GitLab 技術支援

極狐GitLab 技術支援團隊對付費客戶GitLab(基礎版/專業版)提供全面的技術支援,您可以透過https://support.gitlab.cn/#/portal/myticket 將問題提交。

免費使用者升級需求可以檢視極狐GitLab 近期推出的 GitLab 專業升級服務【https://dl.gitlab.cn/et1zcbjj】。

相關文章