近期,极狐GitLab 正式推出安全版本 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10,用来减缓安全漏洞CVE-2024-45409带来的安全风险。
极狐GitLab 正式推出针对 GitLab CE 老旧版本免费用户的 GitLab 专业升级服务【https://dl.gitlab.cn/xemzy70j】,可以为老旧版本进行专业升级,避免业务宕机。
漏洞详情
| 标题 | 严重等级 | CVE ID |
|---|---|---|
| SAML 认证绕过 | 严重 | CVE-2024-45409 |
SAML 认证绕过
升级依赖项 omniauth-saml至版本 2.2.1、ruby-saml至 1.17.0,就能够缓解安全漏洞CVE-2024-45409带来的安全风险。此安全漏洞仅适用于已经配置了 SAML 认证的实例。
私有化部署实例:已知的减缓措施
以下两种方式可以成功阻止 CVE-2024-45409 漏洞的暴露:
- 开为极狐GitLab 私有化部署实例上的所有用户启双因素认证(注意:开启身份识别提供商的多因素认证并不能起作用)以及
- 在极狐GitLab 中不允许使用 SAML 双因素绕过选项
建议的操作
我们强烈建议所有受以下问题描述所影响的安装实例尽快升级到最新版本。当没有指明产品部署类型的时候(omnibus、源代码、helm chart 等),意味着所有的类型都有影响。
对于GitLab/极狐GitLab 私有化部署版的用户,通过将原有的GitLab CE/EE/JH升级至极狐GitLab 17.3.3-jh、17.2.7-jh、17.1.8-jh、17.0.8-jh、16.11.10-jh 版本即可修复该漏洞。
Omnibus 安装
使用 Omnibus 安装部署的实例,升级详情可以查看极狐GitLab 安装包安装升级文档。
Docker 安装
使用 Docker 安装部署的实例,可使用如下容器镜像将产品升级到上述版本:
- registry.gitlab.cn/omnibus/gitlab-jh:17.3.3-jh.0
- registry.gitlab.cn/omnibus/gitlab-jh:17.2.7-jh.0
- registry.gitlab.cn/omnibus/gitlab-jh:17.1.8-jh.0
- registry.gitlab.cn/omnibus/gitlab-jh:17.0.8-jh.0
- registry.gitlab.cn/omnibus/gitlab-jh:16.11.10-jh.0
升级详情可以查看极狐GitLab Docker 安装升级文档。
Helm Chart 安装
使用云原生安装的实例,可将使用的 Helm Chart 升级到对应版本来修复该漏洞。升级详情可以查看 Helm Chart 安装升级文档。
| JH版本 | 17.3.3 | 17.2.7 | 17.1.8 | 17.0.8 | 16.11.10 |
|---|---|---|---|---|---|
| Helm Chart 版本 | 8.3.3 | 8.2.7 | 8.1.8 | 8.0.8 | 7.11.10 |
可以使用如下几个命令查询任何 JH 所对应的 Helm chart 版本
# 添加 helm repo
helm repo add jh-gitlab https://charts.gitlab.cn/
# 查询版本
helm search repo jh-gitlab -l | grep JH_VERSION对于SaaS用户(jihulab.com),无需进行任何操作,我们已经升级SaaS以修复该漏洞。
极狐GitLab 技术支持
极狐GitLab 技术支持团队对付费客户GitLab(基础版/专业版)提供全面的技术支持,您可以通过https://support.gitlab.cn/#/portal/myticket将问题提交。
免费用户升级需求可以查看极狐GitLab 近期推出的 GitLab 专业升级服务【https://dl.gitlab.cn/xemzy70j】。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。