本分分享極狐GitLab 補丁版本 17.5.2, 17.4.4, 17.3.7 的詳細內容。這幾個版本包含重要的缺陷和安全修復程式碼,我們強烈建議所有私有化部署使用者應該立即升級到上述的某一個版本。對於極狐GitLab SaaS,技術團隊已經進行了升級,無需使用者採取任何措施。
極狐GitLab 正式推出面向 GitLab 老舊版本的專業升級服務,專業技術人員為 GitLab 版本升級提供企業級服務,讓企業業務暢行無憂!
漏洞詳情
| 標題 | 嚴重等級 | CVE ID |
|---|---|---|
| 針對 Kubernetes 叢集代理的非授權訪問 | 高 | CVE-2024-9693 |
| Device OAuth 工作流允許跨視窗偽造 | 中等 | CVE-2024-7404 |
| 透過匯入惡意製作的FogBugz匯入負載導致的DoS攻擊 | 中等 | 待分配 |
| 透過分析儀表板中的JavaScript URL儲存 XSS攻擊 | 中等 | CVE-2024-8648 |
| 漏洞程式碼流中的 HTML 注入可導致對私有化部署例項的 XSS 攻擊 | 中等 | CVE-2024-8180 |
| 透過 API 端點造成資訊洩露 | 中等 | CVE-2024-10240 |
CVE-2024-9692
在該漏洞下,特定配置的情況下能夠導致對 Kubernetes 叢集代理的非授權訪問。影響從 16.0 開始到 17.3.7 之前的所有版本、從 17.4 開始到 17.4.4 之前的所有版本以及從 17.5 開始到 17.5.2 之前的所有版本 。這是一個高等級別的安全問題(CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H, 8.5)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-9693。
CVE-2024-7404
在該漏洞下,攻擊者可以透過 Device OAuth 工作流獲得受害者的完整 API 訪問許可權。影響從 17.2 開始到 17.3.7 之前的所有版本、從 17.4 開始到 17.4.4 之前的所有版本以及從 17.5 開始到 17.5.2 之前的所有版本 。這是一箇中等級別的安全問題(CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N, 6.8)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-7404。
CVE-2024-8648
在該漏洞下,攻擊者可以透過一個特定的、精心偽造的 URL 向分析儀表盤注入惡意的 JavaScript 程式碼。影響從 17.6 開始到 17.3.7 之前的所有版本、從 17.4 開始到 17.4.4 之前的所有版本以及從 17.5 開始到 17.5.2 之前的所有版本 。這是一箇中等級別的安全問題(CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N, 6.1)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-8648。
CVE-2024-8180
在該漏洞下,如果沒有開啟 CSP,那麼不正確的輸出編碼就會導致 XSS 攻擊。影響從 17.3 開始到 17.3.7 之前的所有版本、從 17.4 開始到 17.4.4 之前的所有版本以及從 17.5 開始到 17.5.2 之前的所有版本 。這是一箇中等級別的安全問題(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N, 5.4)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-8180。
CVE-2024-10240
在該漏洞下,特定環境下非授權使用者可能會讀取到私有倉庫中 MR 的相關資訊。影響從 17.3 開始到 17.3.7 之前的所有版本、從 17.4 開始到 17.4.4 之前的所有版本以及從 17.5 開始到 17.5.2 之前的所有版本 。這是一箇中等級別的安全問題(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N, 5.3)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-10240。
影響版本
CVE-2024-9693
- 16.0 <= GitLab CE/EE/JH < 17.3.7
- 17.4 <= GitLab CE/EE/JH < 17.4.4
- 17.5 <= GitLab CE/EE/JH < 17.5.2
CVE-2024-7404
- 17.2 <= GitLab CE/EE/JH < 17.3.7
- 17.4 <= GitLab CE/EE/JH < 17.4.4
- 17.5 <= GitLab CE/EE/JH < 17.5.2
CVE-2024-8648
- 16.0 <= GitLab CE/EE/JH < 17.3.7
- 17.4 <= GitLab CE/EE/JH < 17.4.4
- 17.5 <= GitLab CE/EE/JH < 17.5.2
CVE-2024-8180
- 17.3 <= GitLab CE/EE/JH < 17.3.7
- 17.4 <= GitLab CE/EE/JH < 17.4.4
- 17.5 <= GitLab CE/EE/JH < 17.5.2
CVE-2024-10240
- 17.3 <= GitLab CE/EE/JH < 17.3.7
- 17.4 <= GitLab CE/EE/JH < 17.4.4
- 17.5 <= GitLab CE/EE/JH < 17.5.2
建議的操作
我們強烈建議所有受以下問題描述所影響的安裝例項儘快升級到最新版本。當沒有指明產品部署型別的時候(omnibus、原始碼、helm chart 等),意味著所有的型別都有影響。
對於GitLab/極狐GitLab 私有化部署版的使用者,透過將原有的GitLab CE/EE/JH升級至極狐GitLab 17.5.2-jh、17.4.4-jh、17.3.7-jh 版本即可修復該漏洞。
Omnibus 安裝
使用 Omnibus 安裝部署的例項,升級詳情可以檢視極狐GitLab 安裝包安裝升級文件。
Docker 安裝
使用 Docker 安裝部署的例項,可使用如下三個容器映象將產品升級到上述三個版本:
- registry.gitlab.cn/omnibus/gitlab-jh:17.5.2-jh.0
- registry.gitlab.cn/omnibus/gitlab-jh:17.4.4-jh.0
- registry.gitlab.cn/omnibus/gitlab-jh:17.3.7-jh.0
升級詳情可以檢視極狐GitLab Docker 安裝升級文件。
Helm Chart 安裝
使用雲原生安裝的例項,可將使用的 Helm Chart 升級到 8.5.1(對應 17.5.1-jh)、8.4.3(對應 17.4.3-jh)、17.3.6(對應 17.2.8-jh)來修復該漏洞。升級詳情可以檢視 Helm Chart 安裝升級文件。
| JH 版本 | 17.5.2 | 17.4.4 | 17.3.7 |
|---|---|---|---|
| Chart 版本 | 8.5.2 | 8.4.4 | 8.3.7 |
對於SaaS使用者(jihulab.com),無需進行任何操作,我們已經升級SaaS以修復該漏洞。
極狐GitLab 技術支援
極狐GitLab 技術支援團隊對付費客戶GitLab(基礎版/專業版)提供全面的技術支援,您可以透過https://support.gitlab.cn/#/portal/myticket 將問題提交。
如果您是免費使用者,在升級過程中遇到任何問題,可以尋求 GitLab 專業升級服務的幫助!