极狐GitLab 发布安全补丁版本 17.4.1、17.3.4、17.2.8

已于 2024-10-08 10:32:31 修改
阅读量321 收藏 5
点赞数 8
文章标签: DevOps DevSecOps GitLab 极狐GitLab 安全合规
于 2024-10-08 10:18:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44749269/article/details/142753095
版权

GitLab 是一个全球知名的一体化 DevOps 平台,很多人都通过私有化部署 GitLab 来进行源代码托管。极狐GitLab 是 GitLab 在中国的发行版,专门为中国程序员服务。可以一键式部署极狐GitLab。

学习极狐GitLab 的相关资料:

  1. 极狐GitLab 官网
  2. 极狐GitLab 官网文档
  3. 极狐GitLab 论坛
  4. 极狐GitLab 安装配置

在这里插入图片描述

本分分享极狐GitLab 补丁版本17.4.1、17.3.4、17.2.8 的详细内容。

近期,极狐GitLab 专业技术团队正式发布了 17.4.1、17.3.4、17.2.8 版本。这几个版本包含重要的缺陷和安全修复代码,我们强烈建议所有私有化部署用户应该立即升级到上述的某一个版本。对于极狐GitLab SaaS,技术团队已经进行了升级,无需用户采取任何措施。

漏洞详情

标题严重程度严重程度
维护者可以通过精心构造的POST请求,然后通过更改Dependency Proxy URL来泄露Dependency Proxy密码CVE-2024-4278
项目引用被暴露在系统注释中CVE-2024-8974

CVE-2024-4278

  • 维护者可以通过精心构造的POST请求,通过更改Dependency Proxy URL来泄露Dependency Proxy密码

在极狐GitLab 上发现了一个信息暴露问题,这影响了 16.5 到 17.2.8、17.3 到 17.3.4 以及 17.4 和 17.4.1 版本。维护者可以通过精心构造一个 POST 请求,然后通过编辑特定的 Dependency Proxy 设置来获取 Dependency Proxy 的密码。这是一个中等风险的安全问题(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N, 5.5)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2024-4278。

CVE-2024-8974

  • 项目引用被暴露在系统注释中

在极狐GitLab 上发现了一个信息暴露问题,这影响了 15.6 到 17.2.8、17.3 到 17.3.4 以及 17.4 和 17.4.1 版本。在特定的条件下有可能将私有项目的路径泄露给未授权的用户。这是一个低等风险的安全问题(CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N, 2.6)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2024-8974。

受影响版本

CVE-2024-4278

  • 16.5 <= GitLab CE/EE/JH < 17.2.8
  • 17.3 <= GitLab CE/EE/JH < 17.3.4
  • 17.4 <= GitLab CE/EE/JH < 17.4.1

CVE-2024-8974

  • 15.6 <= GitLab CE/EE/JH < 17.2.8
  • 17.3 <= GitLab CE/EE/JH < 17.3.4
  • 17.4 <= GitLab CE/EE/JH < 17.4.1

建议的操作

我们强烈建议所有受以下问题描述所影响的安装实例尽快升级到最新版本。当没有指明产品部署类型的时候(omnibus、源代码、helm chart 等),意味着所有的类型都有影响。

对于GitLab/极狐GitLab 私有化部署版的用户,通过将原有的GitLab CE/EE/JH升级至极狐GitLab
17.4.1-jh、17.3.4-jh、17.2.8-jh 版本即可修复该漏洞。详情可以查看极狐GitLab 官网

  • Omnibus 安装

使用 Omnibus 安装部署的实例,升级详情可以查看极狐GitLab 安装包安装升级文档

  • Docker 安装

使用 Docker 安装部署的实例,可使用如下三个容器镜像将产品升级到上述三个版本:

registry.gitlab.cn/omnibus/gitlab-jh:17.4.1-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.3.4-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.2.8-jh.0

升级详情可以查看极狐GitLab Docker 安装升级文档

  • Helm Chart 安装

使用云原生安装的实例,可将使用的 Helm Chart 升级到 8.4.1(对应 17.4.1-jh)、8.3.4(对应 17.3.4-jh)、8.2.8(对应 17.2.8-jh)、8.0.8(对应 17.0.8)以及 7.11.10(对应 16.11.10)来修复该漏洞。升级详情可以查看 Helm Chart 安装升级文档

JH 版本17.4.117.3.417.2.8
Chart 版本8.4.18.3.48.2.8

对于SaaS用户(jihulab.com),无需进行任何操作,我们已经升级SaaS以修复该漏洞。

极狐GitLab 技术支持

极狐GitLab 技术支持团队对付费客户GitLab(基础版/专业版)提供全面的技术支持,您可以通过https://support.gitlab.cn/#/portal/myticket将问题提交。

如果您是免费用户,在升级过程中遇到任何问题,可以在我们的官方论坛 https://forum.gitlab.cn 上发帖,或者在官网首页 https://gitlab.cn 的联系方式联系我们

新版本修复的缺陷

17.4.1

  • 改进了 OpenSSL 调用消息
  • 将API项目/:id/share的紧急性更改为低
  • 对议题关闭模式设置进行提交信息检查
  • 回滚:修复 VR 按钮显示不正确的问题
  • 回滚:在 17.4 中修复了不正确的 gitlab-shell-check 文件名称
  • 对于 OpenSSL v3 的调用延期到了极狐GitLab 17.7

17.3.4

  • 改进了 OpenSSL 调用消息
  • 对于 OpenSSL v3 的调用延期到了极狐GitLab 17.7

17.2.8

  • 改进了 OpenSSL 调用消息
  • 对于 OpenSSL v3 的调用延期到了极狐GitLab 17.7
极小狐
关注
博客
桥水基金、贝莱德、摩根士丹利选择极狐GitLab 的五大理由!
10-08 359
全球最大对冲基金桥水基金、全球最大的资产管理公司之一贝莱德,还有全球领先的国际性金融服务公司摩根士丹利除了看好此轮股市上涨, 还是极狐GitLab 的企业版客户!
博客
一文读懂 Git fetch 和 Git pull 的终极区别(带实验结果)
09-29 620
git fetch 从远端仓库拉取最新的提交历史,但是不会对当前的本地工作目录产生任何影响。即使在获取(fetch)远端变更后,这些变更也不会在本地分支上有所反应。它的主要用途是:当你想要从远端仓库获取最新的状态,然后对变更被合入到本地仓库之前对变更做预览。为了将获取的变更应用到本地分支,你还需要手动执行 git merge 或者 git rebase。git pull 命令是将 git fetch和 git merge(或 git rebase)结合在了一起。
博客
极狐GitLab 签约比博斯特,助力新能源智能底盘企业研发提效
09-29 1067
极狐GitLab 客户案例之新能源智能地盘强企比博斯特。谈及为什么选择极狐GitLab,比博斯特软件研发负责人郑博士表述极狐GitLab 界面非常整洁,对于汽车行业的软件研发工程师来讲,容易上手,也能轻松地发现想用的功能。另外,极狐GitLab 作为一个成熟的工具,可以认为是国内的 GitHub,非常的可靠稳定,对于像比博斯特这种非常看重知识产权、资产安全的公司来讲,是非常不错的选择。
博客
极狐GitLab 17.4 重点功能解读【九】
09-27 442
极狐GitLab 17.4 重点功能解读。
博客
我,一个小白,居然用 AI 工具修改了公司前端代码!
09-27 1279
本分分享了如何使用 AI 产品驭码CodeRider 进行代码编程。驭码CodeRider 是极狐GitLab 自研的 AIGC 产品,能够进行 AI 编程和智能 DevOps 流程处理。本分使用驭码CodeRider对公司产品进行了实际研发,证明了 AI 对软件研发的能力。
博客
极狐GitLab 17.4 重点功能解读【八】
09-27 595
极狐GitLab 17.4 重点功能解读。
博客
极狐GitLab 17.4 重点功能解读【七】
09-26 469
极狐GitLab 17.4 重点功能解读。
博客
极狐GitLab 17.4 升级指南
09-26 640
本文分享极狐GitLab 17.4 升级的详细步骤。今日,极狐GitLab 17.4 正式发布。新版本发布了几十项与 DevSecOps 相关的更新,包括项目管理、源代码托管、CI/CD、安全合规等。对于用户来讲及时升级到最新版本不仅能够第一时间体验到最新功能,更重要的是能够避免老旧版本存在的安全风险而遭受安全攻击。极狐GitLab 为 GitLab 的中文发行版,中文版本对中国用户更友好。可以一键私有化部署,也可以直接使用 SaaS。详细安装指南可以查看官网。
博客
极狐GitLab 17.4 重点功能解读【六】
09-26 264
极狐GitLab 17.4 重点功能解读。
博客
极狐GitLab 17.4 重点功能解读【五】
09-26 476
极狐GitLab 17.4 重点功能解读。
博客
极狐GitLab 17.4 重点功能解读【三】
09-25 510
极狐GitLab 重点功能解读
博客
极狐GitLab 17.4 重点功能解读【四】
09-25 871
极狐GitLab 17.4 重点功能解读。
博客
极狐GitLab 17.4 重点功能解读【二】
09-25 1121
极狐GitLab 17.4 重点功能解读。
博客
极狐GitLab 17.4 重点功能解读【一】
09-25 901
极狐GitLab 17.4 重点功能解读。
博客
如何恢复被删除的 GitLab 项目?
09-25 1232
本文分享如何使用极狐GitLab 的项目延迟删除功能来避免仓库被用户误操作。该功能设置了删除延时时间,在延时期间内,用户还可以对项目进行恢复。极狐GitLab 群组、项目的删除保护功能,主要是为了防止群组、项目被用户误删除,从而导致数据丢失。下面演示该功能的使用。
博客
GitLab将会持续支持FluxCD
09-20 493
FluxCD 是一个成熟的、企业级的 GitOps 解决方案,具有现代的模块化架构和干净的代码库,适合集成并且需要最少的维护。在过去的一个月中,我们与许多围绕 FluxCD 构建工具的公司进行了讨论,我们共同确信 FluxCD 是我们希望继续支持和依赖的解决方案。我们对 Flux 的未来充满信心。我们相信,我们对 Flux 的持续支持和集成可以为我们的用户提供最好的服务。但是今年年初,Flux 的母公司宣布公司即将关于,GitLab 作为极狐GitLab 的上游,针对这一事件也做了自己的表述。
博客
定义可引用的 CI/CD 配置文件中的输入参数
09-20 541
极狐GitLab 是一个一体化的 DevOps 平台,内置 CI/CD 功能。在极狐GitLab 15.11 中,我们引入了一项令人兴奋的新功能,允许用户为可包含的配置文件定义输入参数。通过在 CI 模板中使用输入参数的功能,您可以将模板中的任何关键字替换为参数,包括阶段、脚本或作业名称。例如,您可以向所有作业添加前缀,以更好地将它们与您要包含配置的流水线隔离。这些输入参数可以针对每个配置文件声明为强制参数或可选参数,从而减少对全局变量的需求,并使 CI/CD 模板更加健壮和隔离。
博客
极狐GitLab 重要安全版本:17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10
09-19 1518
今天我们正式发布了极狐GitLab 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10 版本。该版本包含了重要的缺陷和安全修复,我们强烈建议所有的私有化部署用户应立即升级到上述推荐的某一个版本。对于极狐GitLab SaaS(JihuLab.com)来讲,专业的技术团队已经进行了升级。
博客
Ruby-SAML CVE-2024-45409 漏洞解决方案
09-19 1046
由于极狐GitLab 是基于 Ruby 的,因此极狐GitLab 受此漏洞的影响。使用云原生安装的实例,可将使用的 Helm Chart 升级到 8.3.3(对应 17.3.3-jh)、8.2.7(对应 17.2.7-jh)、8.1.8(对应 17.1.8-jh)、8.0.8(对应 17.0.8)以及 7.11.10(对应 16.11.10)来修复该漏洞。对于GitLab/极狐GitLab 私有化部署版的用户,通过将原有的GitLab CE/EE/JH升级至极狐GitLab。
博客
极狐GitLab CI/CD 功能合集(超详细教程)
09-14 1039
本文汇总了极狐GitLab CI/CD 功能实践的一些文章,能够帮助用户快速了解、实践极狐GitLab CI/CD。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值