关于 Ruby 的 CVE-2024-45409 漏洞，极狐GitLab 受影响么？

17 0

发表于昨天 10:29 | 显示全部楼层阅读模式

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

漏洞描述

CVE-2024-45409 漏洞是由 Ruby SAML 库引起的。Ruby SAML 库是用于实现 SAML 授权的客户端。12.2 及以下的所有版本、1.13.0 到 1.16.0 之间的 Ruby-SAML 版本都受此影响。这些版本不能够正确验证 SAML 响应的签名。因此，具有访问任何身份提供者（IdP）签署的 SAML 文档的未经身份验证的攻击者可以伪造包含任意内容的 SAML 响应/断言。这将允许攻击者以任意用户身份登录到易受攻击的系统中。此漏洞在 1.17.0 和 1.12.3 版本中已修复。

标题	严重性
SAML 认证绕过	严重

对于极狐GitLab 的影响

由于极狐GitLab 是基于 Ruby 的，因此极狐GitLab 受此漏洞的影响。在漏洞被披露以后，极狐GitLab 专业技术团队很快就发布了安全版本极狐GitLab 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10。官方强烈建议所有的私有化部署用户应立即升级到上述推荐的某一个版本。对于极狐GitLab SaaS（JihuLab.com）来讲，专业的技术团队已经进行了升级。

升级指南

对于GitLab/极狐GitLab 私有化部署版的用户，通过将原有的GitLab CE/EE/JH升级至极狐GitLab 17.3.3-jh、17.2.7-jh、17.1.8-jh、17.0.8-jh、16.11.10-jh 版本即可修复该漏洞。详请可以查看极狐GitLab 官网。

Omnibus 安装

使用 Omnibus 安装部署的实例，升级详情可以查看极狐GitLab 安装包安装升级文档。

Docker 安装

使用 Docker 安装部署的实例，可使用如下三个容器镜像将产品升级到上述三个版本：

registry.gitlab.cn/omnibus/gitlab-jh:17.3.3-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.2.7-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.1.8-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.0.8-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:16.11.10-jh.0

升级详情可以查看极狐GitLab Docker 安装升级文档。

Helm Chart 安装

使用云原生安装的实例，可将使用的 Helm Chart 升级到 8.3.3(对应 17.3.3-jh）、8.2.7（对应 17.2.7-jh）、8.1.8（对应 17.1.8-jh）、8.0.8（对应 17.0.8）以及 7.11.10（对应 16.11.10）来修复该漏洞。升级详情可以查看 Helm Chart 安装升级文档。