GitLab發布18.6.1、18.5.3與18.4.5版本,針對社群版本與企業版本修補多項安全與穩定性問題。官方建議所有自託管版使用者儘速升級至對應版本,以確保系統安全。GitLab.com已完成更新,GitLab Dedicated用戶則無需採取行動,這次更新包含兩項高風險弱點修補,分別涉及CI/CD快取憑證外洩與DoS攻擊。
新版本修補的第一個高風險漏洞為CVE-2024-9183,與CI/CD快取競態條件有關。在特定條件下,低權限的已登入使用者,可能取得較高權限的憑證並以該身分執行操作,CVSS評分7.7。受影響範圍包括GitLab CE與EE的18.4至18.4.4、18.5至18.5.2以及18.6.0版本,修補已納入18.4.5、18.5.3與18.6.1中。
第二個高風險漏洞CVE-2025-12571出現在JSON輸入驗證中介軟體。未經身分驗證的攻擊者可利用特製JSON請求觸發拒絕服務,使系統無法回應。此問題影響範圍更廣,自17.10版起至18.4.4,以及18.5.0至18.5.2與18.6.0皆受影響,CVSS評分7.5。
除上述兩項高風險問題外,GitLab也修補多項中低風險漏洞,包括繞過帳號註冊流程的身分驗證漏洞CVE-2025-12653、HTTP回應處理中的DoS漏洞CVE-2025-7449、Enterprise Edition標記語法算繪的授權檢查缺陷CVE-2025-6195,以及Terraform Registry在特定條件下可能導致權杖外洩的資訊揭露漏洞CVE-2025-13611。
此次更新也包含多項程式修正與穩定性改善,如更新Container Registry至v4.31.1與修正Cloud Native GitLab管理介面CSS載入問題等。由於本次版本涉及資料庫遷移,單節點環境升級期間需等待遷移完成,將有停機時間,而多節點部署則可依官方零停機流程執行,18.6.1另包含於升級後執行的部署後遷移(Post-deploy)作業,用戶在系統上線後仍需進行背景搬遷才能完整套用本次更新。
熱門新聞
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31