首页 / 网络安全 / 文章

GitLab紧急发布多版本补丁,全力修复高危安全漏洞

网络安全 潘老师 2小时前 3 ℃ (0) 扫码查看

GitLab就发现自家平台存在多个高严重性漏洞,为了保障用户安全,紧急发布了关键安全补丁。

一、发布补丁的版本及修复范围

GitLab针对社区版(CE)和企业版(EE),一口气推出了17.11.1、17.10.5和17.9.7这几个版本的补丁。这些补丁可厉害啦,不仅修复了跨站脚本攻击(XSS)、拒绝服务攻击(DoS)这类能严重影响平台安全的漏洞,还降低了账户被接管的风险,同时对一系列其他漏洞也进行了修复,全方位提升系统的安全性和稳定性。

二、重点修复的高危漏洞详情

(一)跨站脚本攻击(XSS)漏洞修复

在Maven依赖代理中,存在两个关键的XSS问题。其中一个漏洞编号为CVE-2025-1763,它的危险程度不容小觑,通用漏洞评分系统(CVSS)给它的评分高达8.7,属于高危漏洞。攻击者利用这个漏洞,能够绕过内容安全策略指令,就好像突破了网站设置的一道重要防线,进而对用户发起攻击。另一个和它差不多的XSS漏洞,利用配置错误的缓存头进行攻击,编号是CVE-2025-2443,也被GitLab成功修复。

(二)网络错误日志记录(NEL)头注入漏洞修复

CVE-2025-1908这个漏洞也挺麻烦,它属于网络错误日志记录(NEL)头注入漏洞,CVSS评分为7.7。恶意行为者要是利用这个漏洞,就有可能监控用户的浏览器活动,甚至完全接管用户账户,这对用户的隐私和账户安全造成了极大威胁,好在GitLab把它解决了。

(三)拒绝服务(DoS)漏洞修复

还有个影响问题预览功能的拒绝服务(DoS)漏洞,编号是CVE-2025-0639,CVSS评分为6.5,属于中等严重性。它会导致服务无法正常提供,给用户带来不好的体验,现在也已经修复啦。

(四)访问控制漏洞修复

有个访问控制漏洞,即便存储库资产被禁用,攻击者仍能未经授权查看分支名称,编号为CVE-2024-12244 ,评分为4.3。这个漏洞也在这次更新中被修复,有效防止了信息泄露。

三、各版本补丁的其他重要修复内容

除了修复上面这些高危漏洞,GitLab发布的各个补丁版本还有不少重要的修复和改进。

(一)17.11.1版本

  • 管道安全升级:“allow_composite_identities_to_run_pipelines”功能现在由一个功能标志保护起来,就像给它上了一把锁,让管道运行更安全。
  • Amazon Q集成优化:解决了和亚马逊Q连接中断的问题,还修正了相关文档错误,让集成功能更稳定。
  • CI/CD功能改进:一方面纠正了CI输入的字符串转换问题;另一方面通过静态可达性改进了对最新DS模板的处理,让持续集成/持续交付(CI/CD)流程更顺畅。
  • 云连接器优化:令牌现在每小时同步一次,这样能提高云连接器的可靠性,保证数据传输稳定。
  • Workhorse和Gitaly性能提升:更新了依赖项,让Workhorse和Gitaly的性能和稳定性都得到增强。
  • 用户界面问题修复:解决了新界面外观中文件附件的问题,提升了用户使用体验。

(二)17.10.5版本

  • 邮件处理路径修复:针对通用基础镜像(UBI)的邮件处理路径问题进行了修复,确保邮件能正常处理。
  • Go gRPC升级:把Go gRPC升级到1.71.1版本,增强了安全性。
  • Zoekt索引优化:对项目过滤、节点管理和索引的即时清除进行了多项修复,让Zoekt索引功能更完善。
  • 会话安全加强:现在浏览器关闭时会自动清除会话cookie,大大降低了会话被劫持的风险,保障用户会话安全。
  • 人工智能事件回填改进:优化了从PostgreSQL到ClickHouse的数据回填,让人工智能相关数据处理更高效。
  • 云连接器同步补丁移植:反向移植了每小时令牌同步补丁,和17.11.1版本保持一致,提升云连接器功能。

(三)17.9.7版本

  • 合规性修复:反向移植了管道命名修复,让联邦信息处理标准(FIPS)和通用基础镜像(UBI)符合合规要求。
  • 加密密钥管理优化:引入了“gitlab:doctor:encryption_keys”任务,方便用户管理加密密钥。
  • Workhorse和Gitaly稳定性提升:更新依赖项,增强了Workhorse和Gitaly的稳定性。
  • 邮件处理路径修复移植:反向移植了UBI邮件处理路径修复,和17.10.5版本同步。
  • Go gRPC安全更新:将Go gRPC安全更新到1.71.1版本,保障系统安全。

随着网络威胁变得越来越复杂,GitLab通过及时发布安全补丁,积极应对安全问题。安全专家根据相关安全公告,强烈建议各个组织尽快升级GitLab的安装版本,这样才能降低已知漏洞带来的风险。这次更新也体现了开源社区的协作精神,通过HackerOne漏洞赏金计划提交的漏洞报告发挥了重要作用。在复杂的数字威胁环境中,各组织一定要遵循网络安全最佳实践,定期进行系统审计,及时安装更新,这样才能保证服务正常运行,保护好数据安全。

版权声明:本站文章,如无说明,均为本站原创,转载请注明文章来源。如有侵权,请联系博主删除。
本文链接:https://www.panziye.com/safe/18067.html
喜欢 (0)
请潘老师喝杯Coffee吧!】
分享 (0)

相关文章

用户头像
发表我的评论
取消评论
表情 贴图 签到 代码

Hi,您需要填写昵称和邮箱!

  • 昵称【必填】
  • 邮箱【必填】
  • 网址【可选】