极狐GitLab 重要安全版本:17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10

于 2024-09-19 14:20:08 发布
阅读量2k 收藏 30
点赞数 20
CC 4.0 BY-SA版权
分类专栏: 安全漏洞 文章标签: gitlab 安全 devops 安全合规 DevOps DevSecOps GitLab
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44749269/article/details/142359082

GitLab 是一个全球知名的一体化 DevOps 平台,很多人都通过私有化部署 GitLab 来进行源代码托管。极狐GitLab 是 GitLab 在中国的发行版,专门为中国程序员服务。可以一键式部署极狐GitLab。

学习极狐GitLab 的相关资料:

  1. 极狐GitLab 官网
  2. 极狐GitLab 官网文档
  3. 极狐GitLab 论坛
  4. 极狐GitLab 安装配置

本分分享更多关于极狐GitLab 重要安全版本 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10 的详情内容。

在这里插入图片描述

今天我们正式发布了极狐GitLab 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10 版本。该版本包含了重要的缺陷和安全修复,我们强烈建议所有的私有化部署用户应立即升级到上述推荐的某一个版本。对于极狐GitLab SaaS(JihuLab.com)来讲,专业的技术团队已经进行了升级。

建议操作

我们强烈建议所有运行以下描述问题所影响的版本应尽快升级到最新版本。

如果没有指明极狐GitLab 特定的部署类型(ominbus、源代码、helm chart 等),那也就意味着所有的类型都受影响。

安全修复

安全修复表

标题 严重性
SAML 认证绕过 严重

SAML 认证绕过(SAML authentication bypass)漏洞是由 Ruby SAML 库引起的,对应的漏洞 ID为 CVE-2024-45409。将依赖 omniauth-saml升级到 2.2.1、ruby-saml升级到 1.17.0就能够
减轻 CVE-2024-45409 漏洞带来的安全危害。

私有化部署版本:已知的缓解措施

以下针对私有化部署的减缓措施能够成功避免实例受到 CVE-2024-45409 漏洞带来的攻击:

  1. 为极狐GitLab 私有化部署实例上的所有用户开启双因素认证(注意:开启身份识别供应商提供的多
最低0.47元/天 解锁文章
博客
GitLab 18.1 正式发布,带来多项重磅 DevOps 功能,可升级体验!
06-27 260
GitLab 是一个全球知名的一体化 DevOps 平台,很多人都通过私有化部署 GitLab 来进行源代码托管。是 GitLab 在中国的发行版,专门为中国程序员服务。可以一键式部署极狐GitLab。
博客
CODING DevOps 下架在即,可迁移至极狐GitLab!
06-27 735
随着CODING DevOps即将下线,用户需尽快寻找替代平台。极狐GitLab作为国内版GitLab,提供一站式DevOps解决方案,支持SaaS和私有化部署,具备代码托管、CI/CD、制品管理等全功能,并集成AI工具CodeRider。迁移过程简单,通过URL导入即可完成项目转移,保留分支和标签数据。极狐GitLab针对中国市场优化,提供本土化集成和文档支持,是CODING用户的理想替代选择。
博客
GitLab 18.1 发布多项 DevSecOps 重磅功能,可升级体验!
06-27 741
极狐GitLab 18.1版本正式发布,带来多项功能改进,包括Maven虚拟仓库、DAST检测、CODEOWNERS文件验证等。该版本还支持用户资料添加ORCID标识符,增强研究人员识别;允许订阅服务账号流水线通知;并优化个人访问令牌管理,可查看无效令牌。极狐GitLab是中国本土化的GitLab发行版,提供SaaS和私有化部署方案,支持基础版、专业版和旗舰版。用户可通过官网文档了解安装升级指南。(146字)
博客
GitLab 18.1 高级 SAST 已支持 PHP,可升级体验!
06-26 815
极狐GitLab 18.1版本正式发布,带来多项DevOps功能升级。作为GitLab中国发行版,极狐GitLab专为本地开发者优化,支持一键部署。新版本重点改进包括:Maven虚拟仓库、DAST检测一致性、CODEOWNERS验证增强、依赖列表过滤等。安全方面新增PHP语言的高级SAST支持,并优化了流水线变量优先级控制,平衡安全与开发灵活性。同时完善了合规框架,新增外部自定义控制命名功能。提供容器镜像和Helm Chart两种升级方式,具体部署可参考官方文档。
博客
GitLab 18.1 发布 Runner、无效的个人访问令牌查看等功能,可升级体验!
06-26 470
摘要 极狐GitLab作为GitLab中国发行版,发布了18.1版本,带来多项功能升级:Maven虚拟仓库、DAST检测优化、CODEOWNERS验证增强等。新版本支持PHP语言的SAST检测,并优化了CI/CD体验,包括审核面板改进和Runner升级。安装可通过容器镜像或Helm Chart完成,各版本(SaaS/私有化部署)均获得相应功能支持。本次更新还引入了GLQL查询语言的史诗支持(Beta)功能,提升项目管理工作效率。
博客
GitLab 18.1 发布依赖列表过滤、合规状态报告控制状态弹窗,可升级体验!
06-26 380
极狐GitLab 18.1版本正式发布,带来多项功能升级,包括Maven虚拟仓库、DAST检测改进、CODEOWNERS文件验证等。该版本支持通过组件版本过滤依赖列表,优化合规状态报告显示,并新增用户类型过滤功能。极狐GitLab作为GitLab中国发行版,提供官方文档和论坛支持,用户可参考指导进行安装升级。18.1版本容器镜像和Helm Chart已同步更新,旗舰版用户可体验全部新特性。(149字)
博客
GitLab 18.1 发布代码搜索中单文件多匹配项、CODEOWNERS 文件验证功能,可升级体验!
06-26 347
极狐GitLab发布18.1版本,带来多项功能改进,包括Maven虚拟仓库、增强的CODEOWNERS文件验证等。作为GitLab中国发行版,极狐GitLab提供私有化部署方案和详细文档支持。新版本优化了代码搜索体验,合并同文件多结果;加强CODEOWNERS验证,确保审核权限有效;统一DAST与密钥检测规则,提升安全一致性。该版本适用于专业版和旗舰版用户,支持SaaS和私有化部署。用户可通过官网、文档和论坛获取安装升级指南。文章还提供18.1版本的容器镜像和Helm Chart信息,方便开发者快速部署。
博客
GitLab 18.1 正式发布Maven 虚拟仓库、密码泄露检测等功能,可升级体验!
06-26 396
极狐GitLab发布18.1版本,带来多项功能改进,包括Maven虚拟仓库(Beta版)、密码泄露检测和SLSA合规组件支持。Maven虚拟仓库简化依赖管理并提高构建性能;新增的密码检测功能可识别泄露凭据;CI/CD组件帮助实现SLSA Level 1合规。该版本支持SaaS及私有化部署,专业版和旗舰版用户可优先体验(部分功能需订阅)。详细功能说明及安装指南可参考官方文档。
博客
驭码CodeRider 荣获第七届创新发展论坛金i奖 “2025年度智能编程创新奖”
06-25 187
驭码CodeRider是极狐GitLab推出的AI驱动软件生产工具,提供代码生成、补全、纠错、测试生成等智能开发功能。深度集成GitLab平台,覆盖软件开发生命周期全流程,包括项目管理、代码评审、安全扫描解析等环节,助力企业提升研发效率。通过自然语言交互实现智能辅助,为开发者提供从入门到高阶的全方位支持。
博客
GitLab CVE-2025-5982 安全漏洞解决方案
06-20 585
极狐GitLab发布重要补丁版本18.0.2、17.11.4和17.10.8,修复了CVE-2025-5982漏洞(低危)。该漏洞可能导致群组IP限制被绕过,造成敏感信息泄露,影响12.0至18.0.2之前的所有版本。私有化部署用户需立即升级至相应修复版本(Omnibus、Docker或Helm Chart安装方式均受影响),SaaS用户已完成自动升级无需操作。升级前需确认当前版本并遵循官方升级路径指南。三个修复版本对应不同安装方式的特定版本号,用户可根据部署方式选择适合的升级方案。
博客
GitLab CVE-2025-5195 安全漏洞解决方案
06-20 476
极狐GitLab发布重要补丁版本18.0.2、17.11.4和17.10.8,修复了认证绕过导致信息泄露的中等漏洞(CVE-2025-5195)。该漏洞影响17.9至18.0.1版本,可能让认证用户访问超出权限的数据。SaaS用户已自动升级,私有化部署用户需手动升级至指定版本。升级路径需严格遵循官方指南,支持Omnibus、Docker和Helm Chart多种部署方式。用户可通过/help页面或管理中心查看当前版本,并参考升级路径工具选择正确升级方案。建议受影响的用户立即采取升级措施以确保系统安全。
博客
GitLab CVE-2025-5996 安全漏洞解决方案
06-20 799
极狐GitLab发布三个补丁版本(18.0.2、17.11.4、17.10.8),修复一个高危HTML注入漏洞(CVE-2025-5996)。该漏洞影响2.1.0至18.0.1的多个版本,可能导致服务拒绝攻击(CVSS评分6.5)。SaaS用户已完成升级,私有化用户需立即升级对应版本。提供Omnibus、Docker和Helm Chart三种升级方式,并给出版本查看和升级路径指引。用户可通过/help页面或管理中心查看当前版本,必须按照官方升级路径操作。
博客
GitLab CVE-2024-9512 安全漏洞解决方案
06-20 798
极狐GitLab发布重要补丁版本18.0.2、17.11.4和17.10.8,修复了中等严重程度的信息披露漏洞(CVE-2024-9512)。该漏洞可能导致攻击者在特定条件下克隆用户私有项目,影响17.10.8之前、17.11-17.11.4以及18.0-18.0.2之间的所有版本。私有化部署用户需立即升级,可通过Omnibus、Docker或Helm Chart三种方式进行,对应不同安装方式提供了具体的升级指南。极狐GitLab SaaS用户已自动完成升级。建议所有受影响用户参考官方升级路径工具制定升级计
博客
GitLab CVE-2025-1478 安全漏洞解决方案
06-20 523
极狐GitLab发布18.0.2、17.11.4、17.10.8补丁版本,修复了CVE-2025-1478漏洞(看板名称DoS攻击)。影响范围涵盖8.13到18.0.1之间的多个版本,建议私有化部署用户立即升级。SaaS用户已完成自动升级。升级方式包括Omnibus、Docker(使用指定镜像)和Helm Chart(对应9.0.2/8.11.4/8.10.8版本)。用户可通过/help页面或管理中心查看当前版本,并遵循官方升级路径进行更新。
博客
GitLab CVE-2025-0673 安全漏洞解决方案
06-19 570
极狐GitLab发布重要补丁版本18.0.2、17.11.4、17.10.8,修复高危漏洞CVE-2025-0673(DoS攻击风险)。受影响版本包括17.7-17.10.7、17.11-17.11.3及18.0-18.0.1。私有化部署用户需立即升级,Omnibus/Docker/Helm Chart用户请参照对应文档升级至指定版本(18.0.2-jh/17.11.4-jh/17.10.8-jh)。SaaS用户已自动完成升级。升级前请通过/help页面或管理中心确认当前版本,并严格遵循官方升级路径。该漏洞
博客
GitLab CVE-2025-5121 安全漏洞解决方案
06-19 721
极狐GitLab发布补丁版本18.0.2、17.11.4、17.10.8,修复高危漏洞CVE-2025-5121。该漏洞影响17.11至17.11.4和18.0至18.0.2版本,允许攻击者注入恶意CI/CD作业。SaaS用户已完成升级,私有化部署用户需立即升级到指定版本。提供三种升级方式:Omnibus、Docker(使用特定镜像)和Helm Chart(对应不同图表版本)。用户可通过/help页面或管理中心查看当前版本,并需遵循官方升级路径操作。
博客
GitLab CVE-2025-1516 安全漏洞解决方案
06-19 589
极狐GitLab发布重要补丁版本18.0.2、17.11.4和17.10.8,修复高危HTML注入漏洞(CVE-2025-1516)。受影响版本包括8.7至18.0.2之间的多个版本,攻击者可利用超长令牌实施拒绝服务攻击(CVSS评分6.5)。SaaS用户已自动完成升级,私有化部署用户需立即采取升级措施,并可通过/help页面或管理中心查看当前版本。提供Omnibus、Docker和Helm Chart三种升级方式,需按指定升级路径操作
博客
GitLab CVE-2025-2254 安全漏洞解决方案
06-19 450
极狐GitLab发布18.0.2、17.11.4和17.10.8补丁版本,修复高危跨站点脚本漏洞(CVE-2025-2254)。该漏洞影响17.9至18.0.2前的版本,可能导致未授权操作。私有化部署用户需立即升级,可通过Omnibus、Docker或Helm Chart方式安装对应版本。SaaS用户已自动升级无需操作。升级前请通过/help页面或管理中心确认当前版本,并参考官方升级路径指南。此漏洞CVSS评分为8.7(高危),建议所有受影响用户尽快完成升级。
博客
GitLab CVE-2025-4278 安全漏洞解决方案
06-19 533
极狐GitLab发布重要补丁版本18.0.2、17.11.4和17.10.8,修复高危HTML注入漏洞(CVE-2025-4278,CVSS评分8.7)。该漏洞影响18.0至18.0.2前所有版本,可能导致账号被接管。私有化部署用户需立即升级,SaaS用户已自动完成升级。
博客
GitLab 18.0 正式发布,15.0 将不再受技术支持,须升级【八】
05-29 1583
极狐GitLab 18.0版本正式发布,带来多项功能升级。作为GitLab中国发行版,极狐GitLab提供私有化部署方案,支持一键安装(提供容器镜像和Helm Chart)。新版本重点功能包括:作业令牌细粒度权限控制(Beta)、用户会话长度限制、SHA256 SAML证书支持、全用户可用的删除保护功能,以及API速率限制。这些改进增强了安全性、稳定性和用户体验。用户可通过官网文档获取安装指南和详细功能说明,或在论坛交流使用经验。该版本还包含漏洞扫描、自定义角色等数十项功能优化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值