GitLab CVE-2024-6389、CVE-2024-4472 漏洞解决方案
极狐GitLab 近日发布安全补丁版本17.3.2, 17.2.5, 17.1.7,修复了17个安全漏洞,本分分享其中两个漏洞 CVE-2024-6389、CVE-2024-4472 两个漏洞详情及解决方案。
极狐GitLab 正式推出面向 GitLab 老旧版本免费用户的专业升级服务,为 GitLab 老旧版本进行专业升级,详情可以查看官网 GitLab 专业升级服务指南 【https://dl.gitlab.cn/cm33bsfv】
漏洞详情
| 标题 | 严重等级 | CVE ID |
|---|---|---|
| 访客用户可以通过版本原子端点查看代码提交细腻下 | 中等 | CVE-2024-6389 |
| 依赖代理凭据在 graphql 日志中以明文形式记录 | 中等 | CVE-2024-4472 |
CVE-2024-6389
在该漏洞下,作为访客用户的攻击者能够通过发布Atom端点访问提交信息,这违反了权限设置。影响从 17.0 开始到 17.1.7 之前的所有版本、从 17.2 开始到 17.2.5 之前的所有版本以及从 17.3 开始到 17.3.2 之前的所有版本 。这是一个中等级别的安全问题(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N, 4.3)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2024-6389。
CVE-2024-4472
在该漏洞下,graphql 日志中的依赖代理凭据是以明文形式记录的。影响从 16.5 开始到 17.1.7 之前的所有版本、从 17.2 开始到 17.2.5 之前的所有版本以及从 17.3 开始到 17.3.2 之前的所有版本 。这是一个中等级别的安全问题(CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N, 4.0)。现在这个问题在最新版本中已经得到了修复,同时被分配为 CVE-2024-4472。
受影响版本
CVE-2024-6389
- 17.0 <= GitLab CE/EE/JH < 17.1.7
- 17.2 <= GitLab CE/EE/JH < 17.2.5
- 17.3 <= GitLab CE/EE/JH < 17.3.2
CVE-2024-4472
- 16.5 <= GitLab CE/EE/JH < 17.1.7
- 17.2 <= GitLab CE/EE/JH < 17.2.5
- 17.3 <= GitLab CE/EE/JH < 17.3.2
建议的操作
我们强烈建议所有受以下问题描述所影响的安装实例尽快升级到最新版本。当没有指明产品部署类型的时候(omnibus、源代码、helm chart 等),意味着所有的类型都有影响。
对于GitLab/极狐GitLab 私有化部署版的用户,通过将原有的GitLab CE/EE/JH升级至极狐GitLab 17.3.2-jh、17.2.5-jh、17.1.7-jh 版本即可修复该漏洞。详情可以查看极狐GitLab 官网
Omnibus 安装
使用 Omnibus 安装部署的实例,升级详情可以查看极狐GitLab 安装包安装升级文档。
Docker 安装
使用 Docker 安装部署的实例,可使用如下三个容器镜像将产品升级到上述三个版本:
registry.gitlab.cn/omnibus/gitlab-jh:17.3.2-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.2.5-jh.0
registry.gitlab.cn/omnibus/gitlab-jh:17.1.7-jh.0
升级详情可以查看极狐GitLab Docker 安装升级文档。
Helm Chart 安装
使用云原生安装的实例,可将使用的 Helm Chart 升级到 8.4.1(对应 17.4.1-jh)、8.3.4(对应 17.3.4-jh)、8.2.8(对应 17.2.8-jh)、8.0.8(对应 17.0.8)以及 7.11.10(对应 16.11.10)来修复该漏洞。升级详情可以查看 Helm Chart 安装升级文档。
| JH 版本 | 17.3.2 | 17.2.5 | 17.1.7 |
|---|---|---|---|
| Chart 版本 | 8.3.2 | 8.2.5 | 8.1.7 |
对于SaaS用户(jihulab.com),无需进行任何操作,我们已经升级SaaS以修复该漏洞。
极狐GitLab 技术支持
极狐GitLab 技术支持团队对付费客户GitLab(基础版/专业版)提供全面的技术支持,您可以通过https://support.gitlab.cn/#/portal/myticket 将问题提交。
如果您是免费用户,需要专业的升级服务,可以查看极狐GitLab 最新推出的GitLab 专业升级服务。
相关文章:
GitLab CVE-2024-6389、CVE-2024-4472 漏洞解决方案
极狐GitLab 近日发布安全补丁版本17.3.2, 17.2.5, 17.1.7,修复了17个安全漏洞,本分分享其中两个漏洞 CVE-2024-6389、CVE-2024-4472 两个漏洞详情及解决方案。 极狐GitLab 正式推出面向 GitLab 老旧版本免费用户的专业升级服务,为 GitLab 老…...
hashCode的底层原理
HashCode是计算机科学中一个广泛使用的概念,特别是在Java等编程语言中,它扮演着重要的角色。为了详细解释hashCode的底层原理,以下从几个方面进行阐述: 一、hashCode的基本概念 HashCode,即哈希码,是一个将…...
hadoop_hdfs详解
HDFS秒懂 HDFS定义HDFS优缺点优点缺点 HDFS组成架构NameNodeDataNodeSecondary NameNodeClient NameNode工作机制元数据的存储启动流程工作流程 Secondary NameNode工作机制checkpoint工作流程 DataNode工作机制工作流程数据完整性 文件块大小块太小的缺点块太大的缺点 文件写入…...
【Linux】Linux命令行与环境变量
1.命令行 前⾯写C语⾔时,很少关注过 main 函数的参数,也没有考虑过 main 为什么会有参 数。 实际上在C语⾔中, main 函数⼀共有三个参数,在命令⾏部分先关注前两个参数: 1. argc:表示 main 函数接收到参…...
改变函数调用上下文:apply与call方法详解及实例
目录 改变函数调用上下文:apply与call方法详解及实例 一、什么是 apply 方法? 1、apply 语法 2、apply 示例 二、什么是 call 方法? 1、call 语法 2、call 示例 三、apply 和 call 的共同与差异 1、apply 和 call 的共同点 2、apply…...
k8s中的微服务
一、什么是微服务 用控制器来完成集群的工作负载,那么应用如何暴漏出去?需要通过微服务暴漏出去后才能被访问 Service是一组提供相同服务的Pod对外开放的接口。 借助Service,应用可以实现服务发现和负载均衡。 service默认只支持4层负载均…...
树莓派--AI视觉小车智能机器人--1.树莓派系统烧入及WiFi设置并进入jupyterlab
一、Raspberry Pi 系统烧入 使用树莓派,我们是需要有操作系统的。默认情况下,树莓派会在插入的SD卡上查找操作系统。这需要一台电脑将存储设备映像为引导设备,并将存储设备插入该电脑。大多数树莓派用户选择microSD卡作为引导设备。 1.1 下载…...
MacOS安装BurpSuite
文章目录 一、下载地址二、下载注册机三、安装教程四、启动burpsuit五、免责声明 一、下载地址 https://portswigger-cdn.net/burp/releases/download?productpro&version2024.7.1&typeMacOsx二、下载注册机 https://github.com/NepoloHebo/BurpSuite-BurpLoaderKey…...
【AI工具大全】《史上最全的AI工具合集》
一.AI编程类工具 1.CodeArts Snap CodeArts Snap是华为云研发的智能开发助手,覆盖软件开发全生命周期,提供代码生成、研发知识问答、智能协同等功能。通过自然语言编程,它能自动生成代码、解释代码逻辑、提供调试与检查,提升开发效率和软件质量。 2.ModelArts ModelArt…...
qt继承结构
一、 继承结构 所有的窗口类均继承自QWidget类,因此QWidget类本身包含窗口的特性。QWidget对象本身既可以作为独立窗口,又可以作为组件(子窗口)。 通过构造函数可以创建以上两种形态的QWidget: // 参数1:使…...
【HCIA复习作业】综合拓扑实验(已施工完)
一、实验要求 1.学校内部的HTTP客户端可以正常通过域名www.baidu.com访问到百度网络中的HTTP服务器 2.学校网络内部网段基于192.168.1.0/24划分,PC1可以正常访问3.3.3.0/24网段,但是Pc2不允许 3.学校内部路由使用静态路由,R1和R2之间两条链路…...
网络基础知识:交换机关键知识解析
了解交换机的关键知识对网络工程师至关重要。 以下是交换机的基础知识解析,包括其基本概念、工作原理和关键技术点: 01-交换机的基本概念 交换机是一种网络设备,用于在局域网(LAN)中连接多个设备,如计算机…...
基于System.js的微前端实现(插件化)
目录 写在前面 一、微前端相关知识 (一)概念 (二) 优势 (三) 缺点 (四)应用场景 (五)现有框架 1. qiankun 2. single-spa 3. SystemJ…...
MedSAM2调试安装与使用记录
目录 前言一、环境准备多版本cuda切换切换cuda版本二 安装CUDNN2.1 检查cudnn 二、使用步骤1.安装虚拟环境2.测试Gradio3.推理 总结 前言 我们在解读完MedSAM之后,迫不及待想尝尝这个技术带来的福音,因此验证下是否真的那么6。这不,新鲜的使…...
Linux 进程终止和进程等待
目录 0.前言 1. 进程终止 1.1 进程退出的场景 1.2 进程常见退出方法 1.2.1 正常退出 1.2.2 异常退出 2. 进程等待 2.1 进程等待的重要性 2.2 进程等待的方法 2.2.1 wait() 方法 2.2.2 waitpid() 方法 2.3 获取子进程 status 2.4 阻塞等待和非阻塞等待 2.4.1 阻塞等待 2.4.2 非阻…...
如何查看默认网关地址:详细步骤
在日常的网络配置与故障排查中,了解并正确查看默认网关地址是一项基础且至关重要的技能。默认网关是连接本地网络与外部网络(如互联网)的关键节点,它扮演着数据包转发的重要角色。无论是家庭网络、办公室网络还是更复杂的网络环境…...
什么是方法的返回值?方法有哪几种类型?静态方法为什么不能调用非静态成员?静态方法和实例方法有何不同?
什么是方法的返回值?方法有哪几种类型? 方法的返回值 是指我们获取到的某个方法体中的代码执行后产生的结果!(前提是该方法可能产生结果)。返回值的作用是接收出结果,使得它可以用于其他的操作! 我们可以…...
Qt开发——Qt项目打包、整合以及生成安装包保姆级教程(Windows系统)
目录 Windows下打包Qt项目 1.Qt系统环境变量的配置 2.打包 3.打包整合为一个.exe文件 4.生成安装包 做完了一个Qt项目之后,要干嘛呢,很显然要打包给别人,让别人也能使用这个软件,本期我们就来学习Qt打包,本期内容分…...
大数据-180 Elasticsearch - 原理剖析 索引写入与近实时搜索
点一下关注吧!!!非常感谢!!持续更新!!! 目前已经更新到了: Hadoop(已更完)HDFS(已更完)MapReduce(已更完&am…...
大数据-172 Elasticsearch 索引操作 与 IK 分词器 自定义停用词 Nginx 服务
点一下关注吧!!!非常感谢!!持续更新!!! 目前已经更新到了: Hadoop(已更完)HDFS(已更完)MapReduce(已更完&am…...
水质评价避坑指南:当DO和NH3-N指标冲突时怎么办?
水质评价指标冲突的智能解法:熵权法实战与多维度决策 当溶解氧(DO)与氨氮(NH3-N)这两项关键水质指标出现评价矛盾时,环保工程师常陷入两难——DO浓度越高通常代表水质越好,而NH3-N数值越低则表明…...
Python 闭包与装饰器
在 Python 学习中,闭包和装饰器是两个既关联又容易混淆的知识点,尤其是结合嵌套函数使用时,常常分不清执行逻辑。但其实只要抓住核心原理,再结合简单案例拆解,就能轻松掌握。 一、前置回顾:函数与局部变量的…...
gui 的高清与标清
现在无论对图层设计多样化 一般采用4层 或者更多:/*** file display_config.h* brief 显示配置头文件 - 定义图层管理和显示参数* details 采用4层图层设计,支持高清/标清自适应*/ #ifndef DISPLAY_CONFIG_H #define DISPLAY_CONFIG_H #include &l…...
ClassGraph构建时扫描:Android注解处理的完整解决方案
ClassGraph构建时扫描:Android注解处理的完整解决方案 【免费下载链接】classgraph An uber-fast parallelized Java classpath scanner and module scanner. 项目地址: https://gitcode.com/gh_mirrors/cl/classgraph ClassGraph是一个超高速并行化的Java类…...
如何快速定制lightgallery.js画廊样式:SCSS变量终极指南
如何快速定制lightgallery.js画廊样式:SCSS变量终极指南 【免费下载链接】lightgallery.js Full featured JavaScript image & video gallery. No dependencies 项目地址: https://gitcode.com/gh_mirrors/li/lightgallery.js lightgallery.js 是一个功能…...
OpenClaw低代码开发:Qwen2.5-VL-7B自动化流程设计器入门
OpenClaw低代码开发:Qwen2.5-VL-7B自动化流程设计器入门 1. 为什么需要可视化流程设计器? 上周我尝试用OpenClaw自动处理一批产品截图和说明文档时,遇到了一个典型问题:需要先让Qwen2.5-VL-7B识别图片中的关键元素,再…...
)
阿里通义实验室FunAudioLLM实战:如何用SenseVoice快速搭建多语言语音识别系统(附代码)
基于SenseVoice构建多语言语音识别系统的工程实践指南 语音识别技术正在重塑人机交互的边界,而阿里通义实验室开源的FunAudioLLM项目中的SenseVoice模型,为开发者提供了一把打开多语言语音世界的钥匙。不同于传统ASR系统需要针对不同语言单独训练模型的繁…...
基于Matlab的路面裂缝检测识别系统:实现精准路面“体检”
基于Matlab的路面裂缝检测识别系统设计,载入待识别图片,对目标图像进行直方图均衡化、中值滤波去噪、对比度增强、二值化处理、二值化滤波、裂缝识别、裂缝判断、裂分拼接、裂缝投影及标记等一系列操作,完成路面识别的准确识别 程序已调通&am…...
[项目名称]:简洁有力的项目描述
[项目名称]:简洁有力的项目描述 【免费下载链接】InstantID 项目地址: https://ai.gitcode.com/hf_mirrors/InstantX/InstantID [简短的项目介绍,前100字内包含核心关键词] ✨ 核心特性 特性1:简要描述特性2:简要描述特…...
RVC变声器全场景解决方案:6大核心问题的系统解决策略
RVC变声器全场景解决方案:6大核心问题的系统解决策略 【免费下载链接】Retrieval-based-Voice-Conversion-WebUI Easily train a good VC model with voice data < 10 mins! 项目地址: https://gitcode.com/GitHub_Trending/re/Retrieval-based-Voice-Conversi…...