Ruby-SAML CVE-2024-45409 漏洞解决方案

漏洞描述

CVE-2024-45409 漏洞是由 Ruby SAML 库引起的。Ruby SAML 库是用于实现 SAML 授权的客户端。12.2 及以下的所有版本、1.13.0 到 1.16.0 之间的 Ruby-SAML 版本都受此影响。这些版本不能够正确验证 SAML 响应的签名。因此,具有访问任何身份提供者(IdP)签署的 SAML 文档的未经身份验证的攻击者可以伪造包含任意内容的 SAML 响应/断言。这将允许攻击者以任意用户身份登录到易受攻击的系统中。此漏洞在 1.17.0 和 1.12.3 版本中已修复。

标题 严重性
SAML 认证绕过 严重

对于极狐GitLab 的影响

由于极狐GitLab 是基于 Ruby 的,因此极狐GitLab 受此漏洞的影响。在漏洞被披露以后,极狐GitLab 专业技术团队很快就发布了安全版本极狐GitLab 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10。官方强烈建议所有的私有化部署用户应立即升级到上述推荐的某一个版本。对于极狐GitLab SaaS(JihuLab.com)来讲,专业的技术团队已经进行了升级。

升级指南

对于GitLab/极狐GitLab 私有化部署版的用户,通过将原有的GitLab CE/EE/JH升级至极狐GitLab
17.3.3-jh、17.2.7-jh、17.1.8-jh、17.0.8-jh、16.11.10-jh 版本即可修复该漏洞。详请可以查看极狐GitLab 官网

Omnibus 安装

使用 Omnibus 安装部署的实例,升级详情可以查看极狐GitLab 安装包安装升级文档

Docker 安装

使用 Docker 安装部署的实例,可使用如下三个容器镜像将产品升级到上述三个版本:

  • registry.gitlab.cn/omnibus/gitlab-jh:17.3.3-jh.0

  • registry.gitlab.cn/omnibus/gitlab-jh:17.2.7-jh.0

  • registry.gitlab.cn/omnibus/gitlab-jh:17.1.8-jh.0

  • registry.gitlab.cn/omnibus/gitlab-jh:17.0.8-jh.0

  • registry.gitlab.cn/omnibus/gitlab-jh:16.11.10-jh.0

升级详情可以查看极狐GitLab Docker 安装升级文档

Helm Chart 安装

使用云原生安装的实例,可将使用的 Helm Chart 升级到 8.3.3(对应 17.3.3-jh)、8.2.7(对应 17.2.7-jh)、8.1.8(对应 17.1.8-jh)、8.0.8(对应 17.0.8)以及 7.11.10(对应 16.11.10)来修复该漏洞。升级详情可以查看 Helm Chart 安装升级文档

JH 版本 17.3.3 17.2.7 17.1.8 17.0.8 16.11.10
Chart 版本 8.3.3 8.2.7 8.1.8 8.0.8 7.11.10

对于SaaS用户(jihulab.com),无需进行任何操作,我们已经升级SaaS以修复该漏洞。

极狐GitLab技术支持

极狐GitLab 技术支持团队对付费客户GitLab(基础版/专业版)提供全面的技术支持,您可以通过https://support.gitlab.cn/#/portal/myticket将问题提交。

如果您是免费用户,在升级过程中遇到任何问题,可以在极狐GitLab 官网找到联系方式联系官方技术专家。