本分分享极狐GitLab补丁版本17.4.2,17.3.5,17.2.9的详细内容。
极狐GitLab正式推出面向GitLab老旧版本免费用户的专业升级服务【】,为GitLab老旧版本进行专业升级。
今天,极狐GitLab专业技术团队正式发布了17.4.2,17.3.5,17.2.9版本。这几个版本包含重要的缺陷和安全修复代码,我们强烈建议所有私有化部署用户应该立即升级到上述的某一个版本。对于极狐GitLabSaaS,技术团队已经进行了升级,无需用户采取任何措施。
漏洞详情CVE-2024-9164在该漏洞下,可以在任意分支上运行流水线。影响从12.5开始到17.2.9之前的所有版本、从17.3开始到17.3.5之前的所有版本以及从17.4开始到17.4.2之前的所有版本。这是一个严重级别的安全问题(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N,9.6)。现在这个问题在最新版本中已经得到了修复,同时被分配为CVE-2024-9164。
CVE-2024-8970在该漏洞下,攻击者可以在特定环境下以其他用户的身份来运行流水线。影响从11.6到17.2.9之前的所有版本、从17.3到17.3.5之前的所有版本以及从17.4到17.4.2之前的所有版本。这是一个高危级别的安全问题(CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N,8.2)。现在这个问题在最新版本中已经得到了修复,同时被分配为CVE-2024-8970。
CVE-2024-8977在该漏洞下,配置且开启了生产力分析仪表盘的实例可能会遭受SSRF攻击。影响从15.10到17.2.9之前的所有版本、从17.3到17.3.5之前的所有版本以及从17.4到17.4.2之前的所有版本。这是一个高危级别的安全问题(CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N,8.2)。现在这个问题在最新版本中已经得到了修复,同时被分配为CVE-2024-8970。
CVE-2024-9631在该漏洞下,如果在具有冲突的MR中查看差异(diff)就会变得很慢。影响从13.6到17.2.9之前的所有版本、从17.3到17.3.5之前的所有版本以及从17.4到17.4.2之前的所有版本。这是一个高危级别的安全问题(AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H,7.5)。现在这个问题在最新版本中已经得到了修复,同时被分配为CVE-2024-9631。
CVE-2024-6530在该漏洞下,在特定情况下,授权一个新应用时,它可能会被渲染为HTML。影响从17.1到17.2.9之前的所有版本、从17.3到17.3.5之前的所有版本以及从17.4到17.4.2之前的所有版本。这是一个高危级别的安全问题(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N,7.3)。现在这个问题在最新版本中已经得到了修复,同时被分配为CVE-2024-6530。
CVE-2024-9623在该漏洞下,允许部署密钥向归档仓库推送变更。影响从8.16到17.2.9之前的所有版本、从17.3到17.3.5之前的所有版本以及从17.4到17.4.2之前的所有版本。这是一个中等级别的安全问题(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N,7.3)。现在这个问题在最新版本中已经得到了修复,同时被分配为CVE-2024-9623。
CVE-2024-5005在该漏洞下,访客可能会使用API来泄露项目模版。影响从11.4到17.2.9之前的所有版本、从17.3到17.3.5之前的所有版本以及从17.4到17.4.2之前的所有版本。这是一个中等级别的安全问题(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N,4.3)。现在这个问题在最新版本中已经得到了修复,同时被分配为CVE-2024-5005。
CVE-2024-9596在漏洞下,极狐GitLab的版本信息可能会泄露给未授权的用户。影响从16.6到17.2.9之前的所有版本、从17.3到17.3.5之前的所有版本以及从17.4到17.4.2之前的所有版本。这是一个低等级别的安全问题(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N,3.7)。现在这个问题在最新版本中已经得到了修复,同时被分配为CVE-2024-9596。
受影响版本CVE-2024-916412.5=GitLabCE/EE/
17.3=GitLabCE/EE/
17.4=GitLabCE/EE/
CVE-2024-897011.6=GitLabCE/EE/
17.3=GitLabCE/EE/
17.4=GitLabCE/EE/
CVE-2024-897715.10=GitLabCE/EE/
17.3=GitLabCE/EE/
17.4=GitLabCE/EE/
CVE-2024-963113.6=GitLabCE/EE/
17.3=GitLabCE/EE/
17.4=GitLabCE/EE/
CVE-2024-653017.1=GitLabCE/EE/
17.3=GitLabCE/EE/
17.4=GitLabCE/EE/
CVE-2024-96238.16=GitLabCE/EE/
17.3=GitLabCE/EE/
17.4=GitLabCE/EE/
CVE-2024-500511.4=GitLabCE/EE/
17.3=GitLabCE/EE/
17.4=GitLabCE/EE/
CVE-2024-959616.6=GitLabCE/EE/
17.3=GitLabCE/EE/
17.4=GitLabCE/EE/
建议的操作我们强烈建议所有受以下问题描述所影响的安装实例尽快升级到最新版本。当没有指明产品部署类型的时候(omnibus、源代码、helmchart等),意味着所有的类型都有影响。
对于GitLab/极狐GitLab私有化部署版的用户,通过将原有的GitLabCE/EE/JH升级至极狐、17.3.5-jh、17.2.9-jh版本即可修复该漏洞。详情可以查看极狐GitLab官网
Omnibus安装使用Omnibus安装部署的实例,升级详情可以查看极狐GitLab安装包安装升级文档。
Docker安装使用Docker安装部署的实例,可使用如下三个容器镜像将产品升级到上述三个版本:
/omnibus/gitlab-jh:17.4.2-
/omnibus/gitlab-jh:17.3.3-
/omnibus/gitlab-jh:17.2.9-
升级详情可以查看极狐GitLabDocker安装升级文档。
使用云原生安装的实例,可将使用的HelmChart升级到8.4.1(对应17.4.1-jh)、8.3.4(对应17.3.4-jh)、8.2.8(对应17.2.8-jh)、8.0.8(对应17.0.8)以及7.11.10(对应16.11.10)来修复该漏洞。升级详情可以查看HelmChart安装升级文档。
对于SaaS用户(),无需进行任何操作,我们已经升级SaaS以修复该漏洞。
极狐GitLab技术支持极狐GitLab技术支持团队对付费客户GitLab(基础版/专业版)提供全面的技术支持,您可以通过。
如果您是免费用户,在升级过程中遇到任何问题,可以查看最新推出的GitLab专业升级服务获取专业服务【】!
新版本修复的缺陷17.4.2回溯:修复:在17-4-stable中为SCHEMA_VERSIONS_DIR指定绝对目录
回溯:修复:在17.4中将grpc-go从旧版本升级到
在enable_advanced_sast_中更新预期的漏洞
跳过稳定分支合并请求的多版本升级作业
回溯:17.4中修复了在查找时候通过名称来进行标签过滤
在ci_deleted_objects中删除project_id不能为null的约束
[回溯]Go-get:修复未经认证请求的401错误
17.3.5回溯:修复:在17-3-stable中为SCHEMA_VERSIONS_DIR指定绝对目录
回溯:修复:在17.3中允许非root用户运行bundle-certificates脚本
跳过稳定分支合并请求的多版本升级作业。
确保受限的可见性级别是一个数组-17.2版本回溯
17.2.9跳过稳定分支合并请求的多版本升级作业
确保受限的可见性级别是一个数组-17.2版本回溯
