请选择 进入手机版 | 继续访问电脑版
返回列表 发布新帖

关于 Ruby 的 CVE-2024-45409 漏洞,极狐GitLab 受影响么?

89 1
发表于 2024-9-19 10:29:42 | 显示全部楼层 阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×

漏洞描述

CVE-2024-45409 漏洞是由 Ruby SAML 库引起的。Ruby SAML 库是用于实现 SAML 授权的客户端。12.2 及以下的所有版本、1.13.0 到 1.16.0 之间的 Ruby-SAML 版本都受此影响。这些版本不能够正确验证 SAML 响应的签名。因此,具有访问任何身份提供者(IdP)签署的 SAML 文档的未经身份验证的攻击者可以伪造包含任意内容的 SAML 响应/断言。这将允许攻击者以任意用户身份登录到易受攻击的系统中。此漏洞在 1.17.0 和 1.12.3 版本中已修复。

标题 严重性
SAML 认证绕过 严重

对于极狐GitLab 的影响

由于极狐GitLab 是基于 Ruby 的,因此极狐GitLab 受此漏洞的影响。在漏洞被披露以后,极狐GitLab 专业技术团队很快就发布了安全版本极狐GitLab 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10。官方强烈建议所有的私有化部署用户应立即升级到上述推荐的某一个版本。对于极狐GitLab SaaS(JihuLab.com)来讲,专业的技术团队已经进行了升级。

升级指南

对于GitLab/极狐GitLab 私有化部署版的用户,通过将原有的GitLab CE/EE/JH升级至极狐GitLab 17.3.3-jh、17.2.7-jh、17.1.8-jh、17.0.8-jh、16.11.10-jh 版本即可修复该漏洞。详请可以查看极狐GitLab 官网

Omnibus 安装

使用 Omnibus 安装部署的实例,升级详情可以查看极狐GitLab 安装包安装升级文档

Docker 安装

使用 Docker 安装部署的实例,可使用如下三个容器镜像将产品升级到上述三个版本:

  • registry.gitlab.cn/omnibus/gitlab-jh:17.3.3-jh.0
  • registry.gitlab.cn/omnibus/gitlab-jh:17.2.7-jh.0
  • registry.gitlab.cn/omnibus/gitlab-jh:17.1.8-jh.0
  • registry.gitlab.cn/omnibus/gitlab-jh:17.0.8-jh.0
  • registry.gitlab.cn/omnibus/gitlab-jh:16.11.10-jh.0

升级详情可以查看极狐GitLab Docker 安装升级文档

Helm Chart 安装

使用云原生安装的实例,可将使用的 Helm Chart 升级到 8.3.3(对应 17.3.3-jh)、8.2.7(对应 17.2.7-jh)、8.1.8(对应 17.1.8-jh)、8.0.8(对应 17.0.8)以及 7.11.10(对应 16.11.10)来修复该漏洞。升级详情可以查看 Helm Chart 安装升级文档

JH 版本 17.3.3 17.2.7 17.1.8 17.0.8 16.11.10
Chart 版本 8.3.3 8.2.7 8.1.8 8.0.8 7.11.10

对于SaaS用户(jihulab.com),无需进行任何操作,我们已经升级SaaS以修复该漏洞。

极狐GitLab技术支持

极狐GitLab 技术支持团队对付费客户GitLab(基础版/专业版)提供全面的技术支持,您可以通过https://support.gitlab.cn/#/portal/myticket将问题提交。

如果您是免费用户,在升级过程中遇到任何问题,可以直接扫描下方二维码联系极狐GitLab 的专业顾问

或者拨打 400-088-8738 联系我们

开心交流,交流开心。
回复

使用道具 举报

评论1

冀利斌ᵇᵉᵗᵗᵉʳLv.2 发表于 2024-9-29 11:23:30 | 显示全部楼层
常更新,胆子才能大起来!更新之前必须把数据备份做好!
回复

使用道具 举报

意见建议

Email:forum@gitlab.cn
  • 关注公众号
  • 添加专业顾问
Copyright © 2001-2024 极狐GitLab论坛 版权所有 All Rights Reserved. 鄂ICP备2021008419号-1|鄂公网安备42018502006137号
关灯 快速发帖
扫一扫添加专业顾问
返回顶部
快速回复 返回顶部 返回列表