GitLab 已发布关键安全补丁,以应对其平台中存在的多个高严重性漏洞,这凸显了在网络威胁日益加剧的情况下该公司采取的强有力的安全措施。
该公司已针对社区版(CE)和企业版(EE)发布了 17.11.1、17.10.5 和 17.9.7 版本的补丁。
这些更新修复了重大缺陷,包括跨站脚本攻击(XSS)、拒绝服务攻击(DoS)以及账户被接管的风险,同时还进行了一系列重要的漏洞修复。
解决的重大漏洞
此次安全更新处理了几个对 GitLab 安装构成重大风险的严重漏洞。
Maven 依赖代理中存在的两个关键跨站脚本攻击(XSS)问题已得到修复。
第一个漏洞(CVE-2025-1763)使得攻击者能够绕过内容安全策略指令,其通用漏洞评分系统(CVSS)评分为 8.7,属于高危漏洞。
一个利用配置错误的缓存头进行攻击的几乎相同的 XSS 漏洞也已修复,并被赋予标识符 CVE-2025-2443。
此外,GitLab 修复了网络错误日志记录(NEL)头注入漏洞(CVE-2025-1908,CVSS 评分为 7.7),该漏洞可能会让恶意行为者监控用户的浏览器活动,甚至可能导致账户被完全接管。
一个影响问题预览功能的中等严重性拒绝服务(DoS)漏洞已通过 CVE-2025-0639 进行修复,其 CVSS 评分为 6.5。
此外,一个即使在存储库资产被禁用时仍允许未经授权查看分支名称的访问控制漏洞也已修复,并被赋予 CVE-2024-12244 的编号,评分为 4.3。
本次发布的重要漏洞修复
GitLab 的补丁版本还修复了一系列影响较大的漏洞,进一步提升了系统的稳定性和性能:
17.11.1 版本
1.管道安全:“allow_composite_identities_to_run_pipelines” 功能现在由一个功能标志保护。
2.Amazon Q 集成:修复了与亚马逊 Q 相关的连接中断问题和文档错误。
3.持续集成 / 持续交付(CI/CD)改进:纠正了 CI 输入的字符串转换问题;通过静态可达性改进了对最新 DS 模板的处理。
4.云连接器:令牌现在每小时同步一次,以提高可靠性。
5.Workhorse 和 Gitaly:更新了依赖项以提升性能和稳定性。
6.用户界面修复:解决了新界面外观中的文件附件问题。
17.10.5 版本
1.邮件处理位置:修复了通用基础镜像(UBI)的邮件处理路径问题。
2.Go gRPC 更新:升级到 1.71.1 版本以增强安全性。
3.Zoekt 索引:对项目过滤、节点管理和索引的即时清除进行了多项修复。
4.会话安全:现在浏览器关闭时会清除会话 cookie,降低了会话被劫持的风险。
5.人工智能事件回填:改进了从 PostgreSQL 到 ClickHouse 的数据回填。
6.云连接器:反向移植了每小时令牌同步补丁。
17.9.7 版本
1.联邦信息处理标准(FIPS)和通用基础镜像(UBI):反向移植了管道命名修复以符合合规要求。
2.加密密钥:引入了 “gitlab:doctor:encryption_keys” 任务,以便更轻松地管理密钥。
3.Workhorse 和 Gitaly:更新了依赖项以提升稳定性。
4.邮件处理位置:反向移植了 UBI 邮件处理路径修复。
5.Go gRPC 更新:安全更新到 1.71.1 版本。
随着网络威胁的复杂性不断演变,GitLab 通过透明的沟通和及时的安全补丁,继续保持其积极主动的应对策略。
根据相关安全公告,安全专家强烈建议各组织立即升级其安装版本,以降低与这些已知漏洞相关的风险。
此次更新体现了开源社区的协作精神,通过 HackerOne 漏洞赏金计划提交的漏洞报告得到了认可。
随着数字威胁环境变得日益复杂,各组织应遵循网络安全最佳实践,包括定期进行系统审计和及时应用更新,以确保服务的持续运行和数据保护。
发表评论
您还未登录,请先登录。
登录