GitLab 多安全漏洞可致攻击者触发拒绝服务状态
内容提要
GitLab 发布了 18.5.1、18.4.3 和 18.3.5 补丁,修复多个高危安全漏洞,包括 DoS 漏洞。自托管用户应立即升级以确保安全。
关键要点
-
GitLab 发布了 18.5.1、18.4.3 和 18.3.5 补丁,修复多个高危安全漏洞。
-
补丁修复了多个高危拒绝服务(DoS)漏洞,影响自托管用户。
-
所有自托管安装应立即升级,GitLab.com 已受到保护。
-
CVE-2025-10497:未认证用户可触发资源耗尽,CVSS 评分为 7.5。
-
CVE-2025-11447:未认证攻击者可发送恶意负载,CVSS 评分为 7.5。
-
CVE-2025-11974:未认证来源的大文件消耗过多资源,CVSS 评分为 6.5。
-
其他高危漏洞包括不当访问控制和错误授权,CVSS 评分从 3.7 到 8.5 不等。
-
GitLab 强烈建议立即升级所有受影响的自托管实例以降低风险。
-
更新中的错误修复涉及 Redis gem 降级、连接池错误和跨版本的 Geo 路由泄漏问题。
延伸解读
安全漏洞的严重性
GitLab 发布的补丁修复了多个高危安全漏洞,尤其是 DoS 漏洞,CVSS 评分高达 7.5。这些漏洞允许未认证用户通过特制负载使系统崩溃,影响自托管用户的服务可用性,企业应高度重视并尽快升级。
补丁更新的重要性
GitLab 强烈建议所有自托管用户立即升级到最新版本,以降低潜在风险。及时更新不仅能修复已知漏洞,还能防止未来可能出现的安全威胁,确保开发环境的稳定性和安全性。
漏洞影响范围
此次补丁影响多个版本的 GitLab,包括 17.10 至 18.5.1 前的版本。用户需确认自己的版本是否在受影响范围内,及时采取措施以避免遭受攻击,确保系统安全。
延伸问答
GitLab 发布了哪些补丁版本来修复安全漏洞?
GitLab 发布了 18.5.1、18.4.3 和 18.3.5 补丁版本。
这些补丁修复了哪些类型的安全漏洞?
补丁修复了多个高危拒绝服务(DoS)漏洞和其他安全问题。
自托管用户应该如何应对这些安全漏洞?
自托管用户应立即升级所有受影响的实例以确保安全。
CVE-2025-10497 漏洞的影响是什么?
CVE-2025-10497 漏洞允许未认证用户触发资源耗尽,CVSS 评分为 7.5。
GitLab.com 用户需要采取什么措施吗?
GitLab.com 用户无需采取任何措施,因为该平台已受到保护。
补丁中还修复了哪些其他高危漏洞?
补丁还修复了不当访问控制和错误授权等高危漏洞,CVSS 评分从 3.7 到 8.5 不等。
