GitLab CVE-2024-6678、CVE-2024-8640 漏洞解决方案

极狐GitLab 近日发布安全补丁版本17.3.2, 17.2.5, 17.1.7,修复了17个安全漏洞,本分分享 CVE-2024-6678、CVE-2024-8640 两个漏洞详情。

极狐GitLab 正式推出面向 GitLab 老旧版本免费用户的专业升级服务,为 GitLab 老旧版本进行专业升级,详情可以查看官网 GitLab 专业升级服务指南 【https://dl.gitlab.cn/cm33bsfv】

漏洞详情

标题严重等级CVE ID
以停止操作作业的拥有者身份执行环境停止操作严重CVE-2024-6678
防止在产品分析漏洞 YAML 中进行代码注入高危CVE-2024-8640

CVE-2024-6678

在该漏洞下,攻击者可以以停止操作作业的拥有者身份执行环境停止操作。影响从 8.14 开始到 17.1.7 之前的所有版本、从 17.2 开始到 17.2.5 之前的所有版本以及从 17.3 开始到 17.3.2 之前的所有版本 。这是一个严重级别的安全问题(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H, 9.9)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2024-6678。

CVE-2024-8640

在该漏洞下,由于输入过滤不完全,可以通过连接的Cube服务器注入命令,从而形成攻击。影响从 16.11 开始到 17.1.7 之前的所有版本、从 17.2 开始到 17.2.5 之前的所有版本以及从 17.3 开始到 17.3.2 之前的所有版本 。这是一个严重级别的安全问题(CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N, 8.5)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2024-8640。

受影响版本

CVE-2024-6678

  • 8.14 <= GitLab CE/EE/JH < 17.1.7
  • 17.2 <= GitLab CE/EE/JH < 17.2.5
  • 17.3 <= GitLab CE/EE/JH < 17.3.2

CVE-2024-8640

  • 16.11 <= GitLab CE/EE/JH < 17.1.7
  • 17.2 <= GitLab CE/EE/JH < 17.2.5
  • 17.3 <= GitLab CE/EE/JH < 17.3.2

建议的操作

我们强烈建议所有受以下问题描述所影响的安装实例尽快升级到最新版本。当没有指明产品部署类型的时候(omnibus、源代码、helm chart 等),意味着所有的类型都有影响。

对于GitLab/极狐GitLab 私有化部署版的用户,通过将原有的GitLab CE/EE/JH升级至极狐GitLab 17.3.2-jh、17.2.5-jh、17.1.7-jh 版本即可修复该漏洞。详情可以查看极狐GitLab 官网

Omnibus 安装

使用 Omnibus 安装部署的实例,升级详情可以查看极狐GitLab 安装包安装升级文档。

Docker 安装

使用 Docker 安装部署的实例,可使用如下三个容器镜像将产品升级到上述三个版本:

registry.gitlab.cn/omnibus/gitlab-jh:17.3.2-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.2.5-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.1.7-jh.0

升级详情可以查看极狐GitLab Docker 安装升级文档。

Helm Chart 安装

使用云原生安装的实例,可将使用的 Helm Chart 升级到 8.4.1(对应 17.4.1-jh)、8.3.4(对应 17.3.4-jh)、8.2.8(对应 17.2.8-jh)、8.0.8(对应 17.0.8)以及 7.11.10(对应 16.11.10)来修复该漏洞。升级详情可以查看 Helm Chart 安装升级文档。

JH 版本17.3.217.2.517.1.7
Chart 版本8.3.28.2.58.1.7

对于SaaS用户(jihulab.com),无需进行任何操作,我们已经升级SaaS以修复该漏洞。

极狐GitLab 技术支持

极狐GitLab 技术支持团队对付费客户GitLab(基础版/专业版)提供全面的技术支持,您可以通过https://support.gitlab.cn/#/portal/myticket 将问题提交。

如果您是免费用户,需要专业的升级服务,可以查看极狐GitLab 最新推出的GitLab 专业升级服务

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/56556.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【漏洞复现】SpringBlade menu/list SQL注入漏洞

》》》产品描述《《《 致远互联智能协同是一个信息窗口与工作界面,进行所有信息的分类组合和聚合推送呈现。通过面向角色化、业务化、多终端的多维信息空间设计,为不同组织提供协同门户,打破组织内信息壁垒,构建统一协同沟通的平台。 》》》漏洞描述《《《 致远互联 FE协作办公…

【PyTorch】DataLoader 设置 num_workers > 0 时,出现 CUDA with multiprocessing 相关报错

【PyTorch】DataLoader 设置 num_workers > 0 时&#xff0c;出现 CUDA with multiprocessing 相关报错 1 报错信息2 报错分析2.1 原因2.2 结论 3 解决方法 1 报错信息 RuntimeError: Caught RuntimeError in DataLoader worker process 0.RuntimeError: Cannot re-initial…

mac安装homebrew和git

简介 由于把自己的新mac拿来撸代码&#xff0c;开始环境搭建&#xff0c;安装各种工具和依赖&#xff0c;安装 git 需要先安装 homebrew&#xff0c;然后就遇到了 homebrew 安装失败的问题。 curl: (7) Failed to connect to raw.githubusercontent.com port 443: Connection…

bat弹出提示对话框

::多种提示框样式自己按需选择 mshta vbscript:msgbox("提示内容1",1,"提示窗口1")(window.close) mshta vbscript:msgbox("提示内容2",2,"提示窗口2")(window.close) mshta vbscript:msgbox("提示内容3",3,"提示窗口3…

linux 中lsof 命令详解

目录 简介输出信息含义输出示例 常用参数示例命令 使用实例查找文件系统使用情况安全审计与其他工具结合使用性能考虑 实用命令总结 简介 lsof&#xff08;List Open Files&#xff09;是一个用于列出当前系统打开文件的强大工具。在 Linux 环境下&#xff0c;几乎所有事物都以…

基于SpringBoot+Vue+uniapp的C语言在线评测系统的详细设计和实现

详细视频演示 请联系我获取更详细的演示视频 项目运行截图 技术框架 后端采用SpringBoot框架 Spring Boot 是一个用于快速开发基于 Spring 框架的应用程序的开源框架。它采用约定大于配置的理念&#xff0c;提供了一套默认的配置&#xff0c;让开发者可以更专注于业务逻辑而不…

NewStarCTF2024-Week2-Web-WP

目录 1、复读机 2、你能在一秒内打出八句英文吗 3、遗失的拉链 4、谢谢皮蛋 plus 5、PangBai 过家家&#xff08;2&#xff09; 1、复读机 测了下存在 ssti 没什么说的 fenjing 秒了 2、你能在一秒内打出八句英文吗 每次出来的需要提交的内容都不一样 exp&#xff1a; …

【漏洞复现】畅捷通T+ FileUploadHandler.ashx 任意文件上传漏洞

免责声明: 本文旨在提供有关特定漏洞的信息,以帮助用户了解潜在风险。发布此信息旨在促进网络安全意识和技术进步,并非出于恶意。读者应理解,利用本文提到的漏洞或进行相关测试可能违反法律或服务协议。未经授权访问系统、网络或应用程序可能导致法律责任或严重后果…

如何从头训练大语言模型: A simple technical report

写在前面 自8月底训好自己的1.5B的LLM后&#xff0c;一直都没有发布一个完整的技术报告&#xff0c;不少小伙伴私信我催更&#xff0c;千呼万唤始出来。其实也没有太大动力去做&#xff0c;原因有三&#xff1a; 豁然开朗&#xff1a;搞定全流程之后&#xff0c;对LLM确实豁然…

静止的秘密

在未来的某一天&#xff0c;科技已经发展到了令人难以置信的地步。在这个时代&#xff0c;视频不再是简单的记录工具&#xff0c;而是成为了连接现实与虚拟世界的桥梁。在这个背景下&#xff0c;一位名叫陈欣的年轻女程序员&#xff0c;发明了一种名为“时间镜像”的技术&#…

智能去毛刺:2D视觉引导机器人如何重塑制造业未来

机器人技术已经深入到各个工业领域中&#xff0c;为制造业带来了前所未有的变革。其中&#xff0c;2D视觉引导机器人技术以其精准、高效的特点&#xff0c;在去毛刺工艺中发挥着越来越重要的作用。本文将为您介绍2D视觉引导机器人技术的基本原理及其在去毛刺工艺中的应用&#…

第2节 如何学习鸿蒙技术

以下是学习鸿蒙技术的一些途径&#xff1a; 一、官方文档与资源 1. 华为开发者官网 • 这是最权威的学习资源平台。官网提供了详细的鸿蒙操作系统的文档&#xff0c;包括架构介绍、开发指南、API参考等内容。例如&#xff0c;对于初学者来说&#xff0c;可以从入门教程开始&am…

Cortex-A7:一级页表(First level address translation)描述符格式及虚拟地址(VA)到物理地址(PA)转换过程

0 参考资料 ARM Cortex-A(armV7)编程手册V4.0.pdf1 Cortex-A7&#xff1a;一级页表&#xff08;First level address translation&#xff09;描述符格式及虚拟地址&#xff08;VA&#xff09;到物理地址&#xff08;PA&#xff09;转换过程 1.1 一级页表&#xff08;First l…

白银票据、黄金票据和委派攻击(内网渗透)

今日你心思不在&#xff0c;心思不在则气息不在&#xff0c;气息不在则步伐不在&#xff0c;步伐不在&#xff0c;命安在。 文章目录 kerberos协议主要角色协议工作流程 白银票据白银票据伪造条件 黄金票据黄金票据伪造条件 白银票据和黄金票据哪个危害更大委派攻击非约束性委…

界面耻辱纪念堂--可视元素04

当我们第一次注意到 Visual Basic 5.0 菜单的动画效果“特性”时&#xff0c;我们只能嘲笑这种特性的傻气。事实上&#xff0c;我们并不觉得特性本身傻气&#xff0c;而是微软为这个特性投资&#xff0c;然后将这个特性应用到他们所有的主流产品&#xff08;例如&#xff0c;Of…

06 算法基础:算法的定义、表现形式(自然语言、伪代码、流程图)、五个特性(有穷性、确定性、可行性、输入、输出)、好算法的设计目标

目录 1 算法的定义 2 算法的三种表现形式 2.1 自然语言 2.2 伪代码 2.3 流程图 3 算法的五个特性 3.1 有穷性 3.2 确定性 3.3 可行性 3.4 输入 3.5 输出 4 好算法的设计目标 4.1 正确性 4.2 可读性 4.3 健壮性 4.4 通用性 4.5 高效率与低存储量 1 算法的定义 …

力姆泰克DMB系列伺服电动缸

力姆泰克DMB系列伺服电动缸 高精度运动&#xff0c;运动平稳&#xff0c;低噪音&#xff0c;高速度 向下翻动查看更多 力姆泰克DMB系列伺服电动缸采用瑞士先进的伺服缸结构设计和进口散件国内组装&#xff0c; 保证力姆泰克伺服电动缸在国内的领先地位. 轧制滚珠丝杠保证伺服…

Google Ads API v18 发布,开发者迎来全新功能与优化

Google 发布了 Google Ads API 第 18 版&#xff0c;为开发者引入了多项新功能和改进。 Google 发布的 Google Ads API 第 18 版引入了增强的工具和功能&#xff0c;使广告主在广告活动优化和性能跟踪方面拥有更多控制权。 主要更新包括&#xff1a; 预算优化建议&#xff1a;新…

解决UNSPSC商品分类的层级不足的方法

《联合国标准产品和服务守则》&#xff08;UNSPSC&#xff09;是一个分层框架&#xff0c;旨在对产品和服务进行分类。其主要目标是通过提供统一的方法来对产品和服务进行分类&#xff0c;从而简化采购和供应链管理。 虽然 UNSPSC 有效地将产品分为各种商品类别&#xff0c;但…

06-ArcGIS For JavaScript-requestAnimationFrame动画渲染

文章目录 概述setInterval&#xff08;&#xff09;与setTimeout()requestAnimationFrame()requestAnimationFrame在ArcGIS For JavaScript的应用结果 概述 本节主要讲解与时间相关的三个方法setTimeout()、setInterval()和requestAnimationFrame()&#xff0c;这三个方法都属…