1、漏洞描述
GitLab 是一个基于 Web 的 Git 仓库管理工具,它提供了代码仓库托管、代码审查、持续集成和持续部署等功能,支持团队协作开发。2024年9月,Gitlab官方披露 Gitlab SAML 身份认证绕过漏洞,官方评级严重。由于Gitlab 使用 ruby-saml 和 omniauth-saml,而 Ruby-SAML 依赖存在CVE-2024-45409 身份认证绕过漏洞,导致攻击者可构造恶意的 SAML,绕过Gtilab的身份认证,从而可以任何人的身份登陆Gitlab。漏洞利用需要攻击者知道 Gitlab SAML配置中的IDP相关信息。
安全版本:
17.3.3
17.2.7
17.1.8
17.0.8
16.11.10
解决建议:
1、升级至安全版本及其以上
2、开启Gitlab 二次认证。
参考链接:
https://about.gitlab.com/releases/2024/09/17/patch-release-gitlab-17-3-3-released/
2、查看目前使用的版本是16.11.6,需要尽快更新补丁修复相关漏洞。
3、升级之前,首先在阿里云创建云盘快照,防止升级失败后系统出现问题。若失败,可以用快照回滚。
4、升级步骤:
查看当前git版本:可以在网页端查看,也可以在后台查看
当前版本是16.11.6
[root@iZ2zeayoikqtdevijfcqezZ ~]# cat /opt/gitlab/embedded/service/gitlab-rails/VERSION
16.11.6
手动备份数据
[root@iZ2zeayoikqtdevijfcqezZ ~]# gitlab-rake gitlab:backup:create
2024-10-10 01:29:09 UTC -- Dumping database ...
Dumping PostgreSQL database gitlabhq_production ... [DONE
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
