极狐GitLab 发布安全版本16.10.10, 16.9.11, 16.8.10, 16.7.10, 16.6.10, 1
近期,极狐GitLab 针对 16.x 版本正式推出安全版本 16.10.10, 16.9.11, 16.8.10, 16.7.10, 16.6.10, 16.5.10, 16.4.7, 16.3.9, 16.2.11, 16.1.8, 16.0.10,用来减缓安全漏洞CVE-2024-45409带来的安全风险。极狐GitLab 正式推出针对 GitLab CE 老旧版本免费用户的 GitLab 专业升级服务【https://dl.gitlab.cn/et1zcbjj 】,可以为老旧版本举行专业升级,避免业务宕机。
漏洞详情
标题严峻等级CVE IDSAML 认证绕过严峻CVE-2024-45409SAML 认证绕过
升级依赖项 omniauth-saml至版本 2.2.1、ruby-saml至 1.17.0,就能够缓解安全漏洞CVE-2024-45409带来的安全风险。此安全漏洞仅适用于已经配置了 SAML 认证的实例。
私有化摆设实例:已知的减缓措施
以下两种方式可以成功阻止 CVE-2024-45409 漏洞的暴露:
[*]开为极狐GitLab 私有化摆设实例上的所有用户启双因素认证(注意:开启身份辨认提供商的多因素认证并不能起作用)以及
[*]在极狐GitLab 中不允许使用 SAML 双因素绕过选项
建议的操纵
我们强烈建议所有受以下题目形貌所影响的安装实例尽快升级到最新版本。当没有指明产物摆设范例的时候(omnibus、源代码、helm chart 等),意味着所有的范例都有影响。
对于GitLab/极狐GitLab 私有化摆设版的用户,通过将原有的GitLab CE/EE/JH升级至极狐GitLab 16.10.10-jh、16.9.11-jh、16.8.10-jh、16.7.10-jh、16.6.10-jh、16.5.10-jh、16.4.7-jh、16.3.9-jh、16.2.11-jh、16.1.8-jh、16.0.10-jh 版本即可修复该漏洞。
Omnibus 安装
使用 Omnibus 安装摆设的实例,升级详情可以查看极狐GitLab 安装包安装升级文档。
Docker 安装
使用 Docker 安装摆设的实例,可使用如下容器镜像将产物升级到上述版本:
[*]registry.gitlab.cn/omnibus/gitlab-jh:16.10.10-jh.0
[*]registry.gitlab.cn/omnibus/gitlab-jh:16.9.11-jh.0
[*]registry.gitlab.cn/omnibus/gitlab-jh:16.8.10-jh.0
[*]registry.gitlab.cn/omnibus/gitlab-jh:16.7.10-jh.0
[*]registry.gitlab.cn/omnibus/gitlab-jh:16.6.10-jh.0
[*]registry.gitlab.cn/omnibus/gitlab-jh:16.5.10-jh.0
[*]registry.gitlab.cn/omnibus/gitlab-jh:16.4.7-jh.0
[*]registry.gitlab.cn/omnibus/gitlab-jh:16.3.9-jh.0
[*]registry.gitlab.cn/omnibus/gitlab-jh:16.2.11-jh.0
[*]registry.gitlab.cn/omnibus/gitlab-jh:16.1.8-jh.0
[*]registry.gitlab.cn/omnibus/gitlab-jh:16.0.10-jh.0
升级详情可以查看极狐GitLab Docker 安装升级文档。
Helm Chart 安装
使用云原生安装的实例,可将使用的 Helm Chart 升级到对应版原来修复该漏洞。升级详情可以查看 Helm Chart 安装升级文档。
JH版本16.10.1016.9.1116.8.1016.7.1016.6.1016.5.1016.4.716.3.916.2.1116.1.816.0.10Helm Chart 版本7.10.107.9.117.8.107.7.107.6.107.5.107.4.77.3.97.2.117.1.87.0.10可以使用如下几个下令查询任何 JH 所对应的 Helm chart 版本
# 添加 helm repo
helm repo add jh-gitlab https://charts.gitlab.cn/
# 查询版本
helmsearch repo jh-gitlab -l | grep JH_VERSION对于SaaS用户(jihulab.com),无需举行任何操纵,我们已经升级SaaS以修复该漏洞。
极狐GitLab 技术支持
极狐GitLab 技术支持团队对付费客户GitLab(基础版/专业版)提供全面的技术支持,您可以通过https://support.gitlab.cn/#/portal/myticket 将题目提交。
免费用户升级需求可以查看极狐GitLab 近期推出的 GitLab 专业升级服务【https://dl.gitlab.cn/et1zcbjj 】。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]