本分分享極狐GitLab 補丁版本 18.0.2, 17.11.4, 17.10.8 的詳細內容。這幾個版本包含重要的缺陷和安全修復代碼,我們強烈建議所有私有化部署用戶應該立即升級到上述的某一個版本。對于極狐GitLab SaaS,技術團隊已經進行了升級,無需用戶采取任何措施。
GitLab 免費版用戶,可以查看GitLab 升級指導服務
漏洞詳情
| 標題 | 嚴重等級 | CVE ID |
|---|---|---|
| HTML 注入影響 GitLab JH/EE/CE | 高危 | CVE-2025-4278 |
影響版本
- 18.0 <= GitLab CE/EE/JH < 18.0.2
解決辦法
在特定條件下,該漏洞可以允許攻擊者將代碼注入到搜索頁面上來接管賬號。影響從 18.0 開始到 18.0.2 之前的所有版本。這是一個高危級別的安全問題(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N, 8.7)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2025-4278。
以下內容僅針對私有化部署用戶。
升級前提
版本查看
有多種方法可以查看當前 GitLab/極狐GitLab 版本信息的方法,下面推薦兩種常用方法:
第一種:
直接在 GitLab/極狐GitLab 實例 URL 后面加上 /help 即可查看,比如當前實例的地址為 jihulab.com,那么在瀏覽器中輸入 jihulab.com/help 即可查看到對應的版本信息;
第二種:
對于私有化部署用戶來說,如果是管理員可以通過管理中心 --> 儀表盤 --> 組件中心可以看到對應的版本信息。
升級路徑查看
GitLab/極狐GitLab 的升級必須嚴格遵守升級路徑,否則很容易出現問題。升級路徑查看鏈接:https://gitlab.cn/support/toolbox/upgrade-path/。輸入當前版本信息(上一步中的查詢結果),選擇升級的目標版本,即可獲取完整升級路徑。
升級指南
我們強烈建議所有受以下問題描述所影響的安裝實例盡快升級到最新版本。當沒有指明產品部署類型的時候(omnibus、源代碼、helm chart 等),意味著所有的類型都有影響。
對于GitLab/極狐GitLab 私有化部署版的用戶,通過將原有的GitLab CE/EE/JH升級至極狐GitLab 18.0.2-jh、17.11.4-jh、17.10.8-jh 版本即可修復該漏洞。
- Omnibus 安裝
使用 Omnibus 安裝部署的實例,升級詳情可以查看極狐GitLab 安裝包安裝升級文檔。
- Docker 安裝
使用 Docker 安裝部署的實例,可使用如下三個容器鏡像將產品升級到上述三個版本:
registry.gitlab.cn/omnibus/gitlab-jh:18.0.2-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.11.4-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.10.8-jh.0
升級詳情可以查看極狐GitLab Docker 安裝升級文檔。
- Helm Chart 安裝
使用云原生安裝的實例,可將使用的 Helm Chart 升級到 9.0.2(對應 18.0.2-jh)、8.11.4(對應 17.11.4-jh)、8.10.8(對應 17.10.8-jh)來修復該漏洞。升級詳情可以查看 Helm Chart 安裝升級文檔。
| JH 版本 | 18.0.2 | 17.11.4 | 17.10.8 |
|---|---|---|---|
| Chart 版本 | 9.0.2 | 8.11.4 | 8.10.8 |
東風,憑多組學聯合生信分析成果登刊)
)
