本分分享極狐GitLab 補(bǔ)丁版本 17.4.2, 17.3.5, 17.2.9 的詳細(xì)內(nèi)容。這幾個(gè)版本包含重要的缺陷和安全修復(fù)代碼，我們強(qiáng)烈建議所有私有化部署用戶應(yīng)該立即升級(jí)到上述的某一個(gè)版本。對(duì)于極狐GitLab SaaS，技術(shù)團(tuán)隊(duì)已經(jīng)進(jìn)行了升級(jí)，無需用戶采取任何措施。

極狐GitLab 正式推出面向 GitLab 老舊版本免費(fèi)用戶的專業(yè)升級(jí)服務(wù)，為 GitLab 老舊版本進(jìn)行專業(yè)升級(jí)，詳情可以查看官網(wǎng) GitLab 專業(yè)升級(jí)服務(wù)指南 【https://dl.gitlab.cn/cm33bsfv】

漏洞詳情

標(biāo)題	嚴(yán)重等級(jí)	CVE ID
以停止操作作業(yè)的擁有者身份執(zhí)行環(huán)境停止操作	嚴(yán)重	CVE-2024-6678
防止在產(chǎn)品分析漏洞 YAML 中進(jìn)行代碼注入	高危	CVE-2024-8640
通過依賴項(xiàng)代理進(jìn)行 SSRF 攻擊	高危	CVE-2024-8635
通過發(fā)送特定 POST 請(qǐng)求導(dǎo)致的 DoS 攻擊	高危	CVE-2024-8124
CI_JOB_TOKEN 可以被用來獲取 GitLab 會(huì)話令牌	中等	CVE-2024-8641
包含模板的情況下，設(shè)置中的變量不會(huì)被 PEP 覆蓋	中等	CVE-2024-8311
訪客可以通過自定義群組模板泄露整個(gè)源代碼倉庫	中等	CVE-2024-4660
在 repo/tree/:id 端點(diǎn)中的開放重定向可能導(dǎo)致通過受損的OAuth流程進(jìn)行賬戶接管	中等	CVE-2024-4283
在發(fā)布永久鏈接中存在的開放重定向問題可能導(dǎo)致通過受損的OAuth流程進(jìn)行賬戶接管	中等	CVE-2024-4612
具有管理群組成員權(quán)限的訪客用戶可以編輯自定義角色來獲得其他權(quán)限	中等	CVE-2024-8631
通過濫用按需 DAST，泄露受保護(hù)和被掩蓋的 CI/CD 變量	中等	CVE-2024-2743
當(dāng)倉庫鏡像失敗會(huì)泄露憑據(jù)信息	中等	CVE-2024-5435
訪客用戶可以通過版本原子端點(diǎn)查看代碼提交信息	中等	CVE-2024-6389
依賴代理憑據(jù)在 graphql 日志中以明文形式記錄	中等	CVE-2024-4472
用戶應(yīng)用程序可以偽造重定向 URL	低	CVE-2024-6446
群組開發(fā)者可以查看群組 Runner 信息	低	CVE-2024-6685

CVE-2024-6678

在該漏洞下，攻擊者可以以停止操作作業(yè)的擁有者身份執(zhí)行環(huán)境停止操作。影響從 8.14 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個(gè)嚴(yán)重級(jí)別的安全問題（CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H, 9.9）?，F(xiàn)在這個(gè)問題在最新版本中已經(jīng)得到了修復(fù)，同時(shí)被分配為 CVE-2024-6678。

CVE-2024-8640

在該漏洞下，由于輸入過濾不完全，可以通過連接的Cube服務(wù)器注入命令，從而形成攻擊。影響從 16.11 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個(gè)嚴(yán)重級(jí)別的安全問題（CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N, 8.5）?，F(xiàn)在這個(gè)問題在最新版本中已經(jīng)得到了修復(fù)，同時(shí)被分配為 CVE-2024-8640。

CVE-2024-8635

在該漏洞下，攻擊者可能通過使用自定義的 Maven 依賴代理 URL 來向內(nèi)部資源發(fā)送請(qǐng)求。影響從 16.8 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個(gè)嚴(yán)重級(jí)別的安全問題（CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N, 7.7）?，F(xiàn)在這個(gè)問題在最新版本中已經(jīng)得到了修復(fù)，同時(shí)被分配為 CVE-2024-8635。

CVE-2024-8124

在該漏洞下，攻擊者可能通過發(fā)送特定的 POST 請(qǐng)求來引起 DoS 攻擊。影響從 16.4 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個(gè)嚴(yán)重級(jí)別的安全問題（CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H, 7.5）。現(xiàn)在這個(gè)問題在最新版本中已經(jīng)得到了修復(fù)，同時(shí)被分配為 CVE-2024-8124。

CVE-2024-8641

在該漏洞下，攻擊者可以通過受害者的 CI_JOB_TOKEN 來獲取屬于受害者的 GitLab 會(huì)話令牌。影響從 13.7 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個(gè)嚴(yán)重級(jí)別的安全問題（CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:L, 6.7）?，F(xiàn)在這個(gè)問題在最新版本中已經(jīng)得到了修復(fù)，同時(shí)被分配為 CVE-2024-8641。

CVE-2024-8311

在該漏洞下，授權(quán)用戶可以通過包含 CI/CD 模板來繞過變量覆蓋保護(hù)。影響從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個(gè)嚴(yán)重級(jí)別的安全問題（CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N, 6.5）。現(xiàn)在這個(gè)問題在最新版本中已經(jīng)得到了修復(fù)，同時(shí)被分配為 CVE-2024-8311。

CVE-2024-4660

在該漏洞下，訪客可以通過使用群組模板來讀取私有項(xiàng)目的源代碼。影響從 11.2 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個(gè)嚴(yán)重級(jí)別的安全問題（CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N, 6.5）。現(xiàn)在這個(gè)問題在最新版本中已經(jīng)得到了修復(fù)，同時(shí)被分配為 CVE-2024-4660。

CVE-2024-4283

在該漏洞下，在 repo/tree/:id中打開重定向可能導(dǎo)致賬戶被受損的 OAuth 工作流所接管。影響從 11.1 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個(gè)中等級(jí)別的安全問題（CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N, 6.4）?，F(xiàn)在這個(gè)問題在最新版本中已經(jīng)得到了修復(fù)，同時(shí)被分配為 CVE-2024-4283。

CVE-2024-4612

在該漏洞下，特定情況下打開重定向漏洞可能允許賬戶被受損的 OAuth 工作流所接管。影響從 12.9 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個(gè)中等級(jí)別的安全問題（CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N, 6.4）?，F(xiàn)在這個(gè)問題在最新版本中已經(jīng)得到了修復(fù)，同時(shí)被分配為 CVE-2024-4612。

CVE-2024-8631

在該漏洞下，被分配了管理員組成員自定義角色的用戶可能已經(jīng)提升了他們的權(quán)限，包括其他自定義角色。影響從 16.6 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個(gè)中等級(jí)別的安全問題（CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:H/A:N, 5.5）。現(xiàn)在這個(gè)問題在最新版本中已經(jīng)得到了修復(fù)，同時(shí)被分配為 CVE-2024-8631。

CVE-2024-2743

在該漏洞下，攻擊者可以在沒有權(quán)限的條件下對(duì)按需 DAST 進(jìn)行修改進(jìn)而造成變量泄露。影響從 13.3 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個(gè)中等級(jí)別的安全問題（CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N, 5.3）?，F(xiàn)在這個(gè)問題在最新版本中已經(jīng)得到了修復(fù)，同時(shí)被分配為 CVE-2024-2743。

CVE-2024-5435

在該漏洞下，用戶密碼可能從倉庫鏡像配置中被泄露出去。影響從 15.10 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個(gè)中等級(jí)別的安全問題（CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N, 4.5）?，F(xiàn)在這個(gè)問題在最新版本中已經(jīng)得到了修復(fù)，同時(shí)被分配為 CVE-2024-5435。

CVE-20240-6389

在該漏洞下，作為訪客用戶的攻擊者能夠通過發(fā)布Atom端點(diǎn)訪問提交信息，這違反了權(quán)限設(shè)置。影響從 17.0 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個(gè)中等級(jí)別的安全問題（CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N, 4.3）。現(xiàn)在這個(gè)問題在最新版本中已經(jīng)得到了修復(fù)，同時(shí)被分配為 CVE-2024-6389。

CVE-20240-4472

在該漏洞下，graphql 日志中的依賴代理憑據(jù)是以明文形式記錄的。影響從 16.5 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個(gè)中等級(jí)別的安全問題（CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N, 4.0）?，F(xiàn)在這個(gè)問題在最新版本中已經(jīng)得到了修復(fù)，同時(shí)被分配為 CVE-2024-4472。

CVE-2024-6446

在該漏洞下，一個(gè)精心偽造的 URL 可以被用來對(duì)受害者進(jìn)行欺騙，以便讓其相信被攻擊者控制的應(yīng)用程序。影響從 17.1 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個(gè)低級(jí)別的安全問題（CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N, 3.5）?，F(xiàn)在這個(gè)問題在最新版本中已經(jīng)得到了修復(fù)，同時(shí)被分配為 CVE-2024-6446。

CVE-2024-6685

在該漏洞下，群組 Runner 信息可能會(huì)被泄露給非授權(quán)的群組成員。影響從 16.7 開始到 17.1.7 之前的所有版本、從 17.2 開始到 17.2.5 之前的所有版本以及從 17.3 開始到 17.3.2 之前的所有版本 。這是一個(gè)低級(jí)別的安全問題（CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N, 3.1）?，F(xiàn)在這個(gè)問題在最新版本中已經(jīng)得到了修復(fù)，同時(shí)被分配為 CVE-2024-6685。

受影響版本

CVE-2024-6678

• 8.14 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-8640

• 16.11 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-8635

• 16.8 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-8124

• 16.4 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-8641

• 13.7 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-8311

• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-4660

• 11.2 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-4283

• 11.1 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-4612

• 12.9 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-8631

• 16.6 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-2743

• 13.3 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-5435

• 15.10 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-6389

• 17.0 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-4472

• 16.5 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-6446

• 17.1 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-6685

• 16.7 <= GitLab CE/EE/JH < 17.1.7
• 17.2 <= GitLab CE/EE/JH < 17.2.5
• 17.3 <= GitLab CE/EE/JH < 17.3.2

建議的操作

我們強(qiáng)烈建議所有受以下問題描述所影響的安裝實(shí)例盡快升級(jí)到最新版本。當(dāng)沒有指明產(chǎn)品部署類型的時(shí)候（omnibus、源代碼、helm chart 等），意味著所有的類型都有影響。

對(duì)于GitLab/極狐GitLab 私有化部署版的用戶，通過將原有的GitLab CE/EE/JH升級(jí)至極狐GitLab 17.3.2-jh、17.2.5-jh、17.1.7-jh 版本即可修復(fù)該漏洞。詳情可以查看極狐GitLab 官網(wǎng)

Omnibus 安裝

使用 Omnibus 安裝部署的實(shí)例，升級(jí)詳情可以查看極狐GitLab 安裝包安裝升級(jí)文檔。

Docker 安裝

使用 Docker 安裝部署的實(shí)例，可使用如下三個(gè)容器鏡像將產(chǎn)品升級(jí)到上述三個(gè)版本：

registry.gitlab.cn/omnibus/gitlab-jh:17.3.2-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.2.5-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.1.7-jh.0

升級(jí)詳情可以查看極狐GitLab Docker 安裝升級(jí)文檔。

Helm Chart 安裝

使用云原生安裝的實(shí)例，可將使用的 Helm Chart 升級(jí)到 8.4.1(對(duì)應(yīng) 17.4.1-jh）、8.3.4（對(duì)應(yīng) 17.3.4-jh）、8.2.8（對(duì)應(yīng) 17.2.8-jh）、8.0.8（對(duì)應(yīng) 17.0.8）以及 7.11.10（對(duì)應(yīng) 16.11.10）來修復(fù)該漏洞。升級(jí)詳情可以查看 Helm Chart 安裝升級(jí)文檔。

JH 版本	17.3.2	17.2.5	17.1.7
Chart 版本	8.3.2	8.2.5	8.1.7

對(duì)于SaaS用戶（jihulab.com），無需進(jìn)行任何操作，我們已經(jīng)升級(jí)SaaS以修復(fù)該漏洞。

極狐GitLab 技術(shù)支持

極狐GitLab 技術(shù)支持團(tuán)隊(duì)對(duì)付費(fèi)客戶GitLab（基礎(chǔ)版/專業(yè)版）提供全面的技術(shù)支持，您可以通過https://support.gitlab.cn/#/portal/myticket 將問題提交。

如果您是免費(fèi)用戶，需要升級(jí)服務(wù)，可以查看極狐GitLab 正式推出的 GitLab 專業(yè)升級(jí)服務(wù)

新版本修復(fù)的缺陷

17.3.2

• UBI：將 openssl gem 版本限制回溯到 17-3-stable
• 回溯 “禁用 release-environments 管道的 allow_failure”
• 修復(fù)在 RTE 中調(diào)整圖像大小時(shí)的問題
• 通過 API 列出項(xiàng)目的問題修復(fù)回溯
• 將滑動(dòng)列表策略的鎖定重試超時(shí)回溯到 17-3
• 回溯歸檔過濾器回歸錯(cuò)誤修復(fù)
• 確保在更新訪問數(shù)據(jù)時(shí)更新 updated_at
• 將 OpenSSL v3 調(diào)用回溯到 17.3
• 隔離 pypi 包注冊(cè)表規(guī)范
• 修復(fù)當(dāng) GITLAB_LOG_LEVEL 設(shè)置為 debug 時(shí) Sidekiq 崩潰的問題
• [17.3 回溯] 將 OpenSSL 升級(jí)到 3.2.0 版本
• 回溯——17.3：在初始化時(shí)移除對(duì)Elasticsearch的調(diào)用
• 將 OpenSSL 降到 1.1.1 版本
• [17.3回溯]：啟用 CentOS 7

17.2.5

• 回溯 “禁用 release-environments 管道的 allow_failure” 設(shè)置
• 標(biāo)記時(shí)始終構(gòu)建資產(chǎn)鏡像
• 更新 google-cloud-core 和 google-cloud-env gems
• 回溯到 17.2：修復(fù) Geo 復(fù)制詳細(xì)信息錯(cuò)誤地為空的問題
• 將 OpenSSL v3 調(diào)用回溯到 17.2
• 回溯到 17.2：修復(fù) JobArtifactState 查詢超時(shí)問題
• CI：在發(fā)布前添加基本包功能測(cè)試（17.2 回溯）
• 使用最新的構(gòu)建器鏡像進(jìn)行 check-packages 管道（17.2 回溯）
• [17.2 回溯] 棄用 CentOS 7

17.1.7

• 回溯 “禁用 release-environments 管道的 allow_failure” 設(shè)置
• 回溯到 17.1：修復(fù) Geo 復(fù)制詳細(xì)信息視圖的問題
• 將 OpenSSL v3 調(diào)用回溯到 17.1
• 回溯到 17.1：修復(fù) JobArtifactState 查詢超時(shí)問題
• CI：在發(fā)布前添加基本包功能測(cè)試（17.1 回溯）
• 使用最新的構(gòu)建器鏡像進(jìn)行 check-packages 管道（17.1 回溯）
• [17.1 回溯] 棄用 CentOS 7