本分分享極狐GitLab 補丁版本 17.7.1, 17.6.3, 17.5.5 的詳細內容。這幾個版本包含重要的缺陷和安全修復代碼,我們強烈建議所有私有化部署用戶應該立即升級到上述的某一個版本。對于極狐GitLab SaaS,技術團隊已經進行了升級,無需用戶采取任何措施。
參考資料
- GitLab 專業升級服務
- GitLab 升級路徑查看
- GitLab 版本漏洞查看
漏洞詳情
CVE-2024-0194
在特定條件下,當以特定方式發出 API 請求后,訪問令牌可能會被記錄下來。影響從 17.4 開始到 17.5.1 之前的所有版本、從 17.6 開始到 17.6.1 之前的所有版本以及從 17.7 開始到 17.7.1 之前的所有版本 。這是一個中等級別的安全問題(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N,6.5)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-0194。
CVE-2024-6324
通過創建史詩間的循環引用可能會觸發 DoS 攻擊。影響從 15.7 開始到 17.5.5 之前的所有版本、從 17.6 開始到 17.6.3 之前的所有版本以及從 17.7 開始到 17.7.1 之前的所有版本 。這是一個中等級別的安全問題(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L,4.3)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-6324。
CVE-2024-12431
未認證的用戶可以操作公共項目中的議題狀態。影響從 15.5 開始到 17.5.5 之前的所有版本、從 17.6 開始到 17.6.3 之前的所有版本以及從 17.7 開始到 17.7.1 之前的所有版本 。這是一個中等級別的安全問題(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N,4.3)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-12431。
CVE-2024-13041
當通過 SAML 提供商創建用戶時,外部的群組設置會覆蓋外部的提供商配置。其結果就是,這些用戶不能夠標記為外部用戶,進而為其賦予內部或群組的訪問權限。影響從 11.0 開始到 17.5.1 之前的所有版本、從 17.6 開始到 17.6.1 之前的所有版本以及從 17.7 開始到 17.7.1 之前的所有版本 。這是一個中等級別的安全問題(CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N, 4.3)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-13041。
影響版本
CVE-2024-0194
- 17.4 <= GitLab CE/EE/JH < 17.5.1
- 17.6 <= GitLab CE/EE/JH < 17.6.1
- 17.7 <= GitLab CE/EE/JH < 17.7.1
CVE-2024-6324
- 15.7 <= GitLab CE/EE/JH < 17.5.5
- 17.6 <= GitLab CE/EE/JH < 17.6.3
- 17.7 <= GitLab CE/EE/JH < 17.7.1
CVE-2024-12431
- 15.5 <= GitLab CE/EE/JH < 17.5.5
- 17.6 <= GitLab CE/EE/JH < 17.6.3
- 17.7 <= GitLab CE/EE/JH < 17.7.1
CVE-2024-13041
- 11.0 <= GitLab CE/EE/JH < 17.5.1
- 17.6 <= GitLab CE/EE/JH < 17.6.1
- 17.7 <= GitLab CE/EE/JH < 17.7.1
升級前提
版本查看
有多種方法可以查看當前 GitLab/極狐GitLab 版本信息的方法,下面推薦兩種常用方法:
第一種:
直接在 GitLab/極狐GitLab 實例 URL 后面加上 /help 即可查看,比如當前實例的地址為 jihulab.com,那么在瀏覽器中輸入 jihulab.com/help 即可查看到對應的版本信息;
第二種:
對于私有化部署用戶來說,如果是管理員可以通過管理中心 --> 儀表盤 --> 組件中心可以看到對應的版本信息。
升級路徑查看
GitLab/極狐GitLab 的升級必須嚴格遵守升級路徑,否則很容易出現問題。升級路徑查看鏈接:https://gitlab.cn/support/toolbox/upgrade-path/。輸入當前版本信息(上一步中的查詢結果),選擇升級的目標版本,即可獲取完整升級路徑。
升級指南
我們強烈建議所有受以下問題描述所影響的安裝實例盡快升級到最新版本。當沒有指明產品部署類型的時候(omnibus、源代碼、helm chart 等),意味著所有的類型都有影響。
對于GitLab/極狐GitLab 私有化部署版的用戶,通過將原有的GitLab CE/EE/JH升級至極狐GitLab 17.7.1-jh、17.6.3-jh、17.5.5-jh 版本即可修復該漏洞。
Omnibus 安裝
使用 Omnibus 安裝部署的實例,升級詳情可以查看極狐GitLab 安裝包安裝升級文檔。
Docker 安裝
使用 Docker 安裝部署的實例,可使用如下三個容器鏡像將產品升級到上述三個版本:
registry.gitlab.cn/omnibus/gitlab-jh:17.7.1-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.6.3-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.5.5-jh.0
升級詳情可以查看極狐GitLab Docker 安裝升級文檔。
Helm Chart 安裝
使用云原生安裝的實例,可將使用的 Helm Chart 升級到 8.6.1(對應 17.6.1-jh)、8.5.3(對應 17.5.3-jh)、8.4.5(對應 17.4.5-jh)來修復該漏洞。升級詳情可以查看 Helm Chart 安裝升級文檔。
對于SaaS用戶(jihulab.com),無需進行任何操作,我們已經升級SaaS以修復該漏洞。
極狐GitLab 技術支持
極狐GitLab 技術支持團隊對付費客戶GitLab(基礎版/專業版)提供全面的技術支持,您可以通過https://support.gitlab.cn/#/portal/myticket 將問題提交。
如果您是免費用戶,在升級過程中遇到任何問題,可以查看 GitLab 專業升級服務。
)
)
)
| 203.移除鏈表元素 707.設計鏈表 206.反轉鏈表)
開源的IDE AI插件,如何搭配OpenRouter實現cursor功能,Cline怎么使用)