动态

详情 返回 返回

極狐GitLab 正式發佈安全版本17.11.2, 17.10.6, 17.9.8 - 动态 详情

本分分享極狐GitLab 補丁版本 17.11.2, 17.10.6, 17.9.8 的詳細內容。這幾個版本包含重要的缺陷和安全修復代碼,我們強烈建議所有私有化部署用户應該立即升級到上述的某一個版本。對於極狐GitLab SaaS,技術團隊已經進行了升級,無需用户採取任何措施。

極狐GitLab 正式推出面向 GitLab 老舊版本的專業升級服務,專業技術人員為 GitLab 版本升級提供企業級服務,讓企業業務暢行無憂!

漏洞詳情

file

CVE-2025-0549

在特定條件下,該漏洞會使用户瀏覽器面臨跨站點腳本攻擊風險,並且會導致內容安全策略被繞過。影響從 16.6 開始到 17.9.7 之前的所有版本、從 17.10 開始到 17.10.5 之前的所有版本以及從 17.11 開始到 17.11.1 之前的所有版本。這是一個高危級別的安全問題(CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N, 6.8)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2025-0549。

CVE-2024-8973

在特定條件下,該漏洞會使用户瀏覽器面臨跨站點腳本攻擊風險,並且會導致內容安全策略被繞過。影響從 16.6 開始到 17.9.7 之前的所有版本、從 17.10 開始到 17.10.5 之前的所有版本以及從 17.11 開始到 17.11.1 之前的所有版本。這是一個高危級別的安全問題(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2024-8973。

CVE-2025-1278

該漏洞可能使攻擊者追蹤用户的瀏覽活動,甚至有可能導致用户賬號被完全接管。影響從 16.6 開始到 17.9.7 之前的所有版本、從 17.10 開始到 17.10.5 之前的所有版本以及從 17.11 開始到 17.11.1 之前的所有版本。這是一個高危級別的安全問題(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N, 5.3)。現在這個問題在最新版本中已經得到了修復,同時被分配為 CVE-2025-1278。

影響版本

CVE-2025-0549

  • 17.3 <= GitLab CE/EE/JH < 17.9.8
  • 17.10 <= GitLab CE/EE/JH < 17.10.6
  • 17.11 <= GitLab CE/EE/JH < 17.11.2

CVE-2024-8973

  • 17.1 <= GitLab CE/EE/JH < 17.9.8
  • 17.10 <= GitLab CE/EE/JH < 17.10.6
  • 17.11 <= GitLab CE/EE/JH < 17.11.2

CVE-2025-1278

  • 12.0 <= GitLab CE/EE/JH < 17.9.8
  • 17.10 <= GitLab CE/EE/JH < 17.10.6
  • 17.11 <= GitLab CE/EE/JH < 17.11.2

升級前提

版本查看

有多種方法可以查看當前 GitLab/極狐GitLab 版本信息的方法,下面推薦兩種常用方法:

第一種:

直接在 GitLab/極狐GitLab 實例 URL 後面加上 /help 即可查看,比如當前實例的地址為 jihulab.com,那麼在瀏覽器中輸入 jihulab.com/help 即可查看到對應的版本信息;

第二種:

對於私有化部署用户來説,如果是管理員可以通過管理中心 --> 儀表盤 --> 組件中心可以看到對應的版本信息。

升級路徑查看

GitLab/極狐GitLab 的升級必須嚴格遵守升級路徑,否則很容易出現問題。升級路徑查看鏈接:https://gitlab.cn/support/toolbox/upgrade-path/ 。輸入當前版本信息(上一步中的查詢結果),選擇升級的目標版本,即可獲取完整升級路徑。

升級指南

我們強烈建議所有受以下問題描述所影響的安裝實例儘快升級到最新版本。當沒有指明產品部署類型的時候(omnibus、源代碼、helm chart 等),意味着所有的類型都有影響。

對於GitLab/極狐GitLab 私有化部署版的用户,通過將原有的GitLab CE/EE/JH升級至極狐GitLab 17.11.2-jh、17.10.6-jh、17.9.8-jh 版本即可修復該漏洞。

Omnibus 安裝

使用 Omnibus 安裝部署的實例,升級詳情可以查看極狐GitLab 安裝包安裝升級文檔。

Docker 安裝

使用 Docker 安裝部署的實例,可使用如下三個容器鏡像將產品升級到上述三個版本:

registry.gitlab.cn/omnibus/gitlab-jh:17.11.2-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.10.6-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.9.8-jh.0

升級詳情可以查看極狐GitLab Docker 安裝升級文檔。

Helm Chart 安裝

使用雲原生安裝的實例,可將使用的 Helm Chart 升級到 8.11.2(對應 17.11.2-jh)、8.10.6(對應 17.10.6-jh)、17.9.8(對應 8.9.8-jh)來修復該漏洞。升級詳情可以查看 Helm Chart 安裝升級文檔。

file

對於SaaS用户(jihulab.com),無需進行任何操作,我們已經升級SaaS以修復該漏洞。

極狐GitLab 技術支持

極狐GitLab 技術支持團隊對付費客户GitLab(基礎版/專業版)提供全面的技術支持,您可以通過https://support.gitlab.cn/#/portal/myticket 將問題提交。

如果您是免費用户,在升級過程中遇到任何問題,可以參考GitLab 專業升級指南。

devops , devsecops , gitlab , Git
user avatar u_16018702 头像 sysin 头像 idiomeo 头像 danxiaodezixingche 头像 sectrend 头像
点赞 5 用户, 点赞了这篇动态!
点赞

Add a new 评论

Some HTML is okay.