GitLab补丁发布:18.3.1、18.2.5、18.1.5
今天,我们发布了GitLab社区版(CE)和企业版(EE)的18.3.1、18.2.5和18.1.5版本。这些版本包含了重要的错误和安全修复,我们强烈建议所有自托管GitLab安装立即升级到这些版本之一。GitLab.com已经在运行修补后的版本。GitLab Dedicated客户无需采取任何操作。
GitLab通过补丁发布修复漏洞。补丁发布有两种类型:计划发布和针对高严重性漏洞的临时关键补丁。计划发布每月在第二个和第四个星期三发布两次。
推荐操作
我们强烈建议所有运行受以下问题影响的版本的安装尽快升级到最新版本。当未提及产品的特定部署类型(omnibus、源代码、helm chart等)时,意味着所有类型都会受到影响。
安全修复
安全修复表
| 标题 | 严重程度 |
|---|---|
| 导入功能中的资源分配无限制问题影响GitLab CE/EE | 中危 |
| GraphQL端点中的认证缺失问题影响GitLab CE/EE | 中危 |
| GraphQL中的资源分配无限制问题影响GitLab CE/EE | 中危 |
| GitLab仓库中的代码注入问题影响GitLab CE/EE | 中危 |
CVE-2025-3601 - 导入功能中的资源分配无限制问题影响GitLab CE/EE
GitLab修复了一个问题,该问题可能允许经过身份验证的用户通过提交生成过大响应的URL导致拒绝服务(DoS)状况。 受影响版本:GitLab CE/EE:从8.15到18.1.5之前的所有版本,18.2到18.2.5之前,18.3到18.3.1之前 CVSS:6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
CVE-2025-2246 - GraphQL端点中的认证缺失问题影响GitLab CE/EE
GitLab修复了一个问题,该问题可能允许未经身份验证的用户通过查询GraphQL API访问敏感的手动CI/CD变量。 受影响版本:GitLab CE/EE:18.1.5之前的所有版本,18.2到18.2.5之前,18.3到18.3.1之前 CVSS:5.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N)
CVE-2025-4225 - GraphQL中的资源分配无限制问题影响GitLab CE/EE
GitLab修复了一个问题,该问题在某些条件下可能允许未经身份验证的攻击者通过发送特制的GraphQL请求导致影响所有用户的拒绝服务状况。 受影响版本:GitLab CE/EE:从14.1到18.1.5之前的所有版本,18.2到18.2.5之前,18.3到18.3.1之前 CVSS:5.3 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
CVE-2025-5101 - GitLab仓库中的代码注入问题影响GitLab CE/EE
GitLab修复了一个问题,该问题在某些条件下可能允许经过身份验证的攻击者通过在仓库导入期间利用分支和标签之间的歧义来分发在Web界面中显示无害的恶意代码。 受影响版本:GitLab CE/EE:18.1.5之前的所有版本,18.2到18.2.5之前,18.3到18.3.1之前 CVSS:5.0 (CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:N/I:H/A:N)
错误修复
18.3.1
- [Backport 18.3] 为SBOM进行容器扫描的更改
- 修复"无法加载文件 – gitlab"的Backport
- Backport:修复阻止Ci::Build过滤优化的命名空间问题
- 带路径缓存的依赖路径创建的Backport
- 修复指定主机名时的可信代理回归
- E2E测试:使用正确的复选框方法的Backport
- 将Mattermost更新到v10.10.2
18.2.5
- [Backport 18.2] 为SBOM进行容器扫描的更改
- [18.2] 修复由于标签排序导致的脆弱规范
- Backport ‘Danger在描述性标题缺失时回退MR失败’
- 修复feature_setting.rb中冻结对象突变的Backport错误
- 为代理聊天添加阶段检查
- Backport of ‘更新active_add_on_purchase检查以包含自托管检查’
- Backport of “创建与test-on-omnibus兼容的无操作流水线模板”
- Backport of ‘修复无法加载文件 – gitlab’
- Backport of E2E测试:使用正确的复选框方法
- Backport of ‘在clickhouse http调用中忽略silent_mode’
18.1.5
- Backport “当仅QA更改时e2e:test-on-omnibus-ee作业不存在时Danger不报错"到18.1
- Backport为GlobalAdvisoryScanWorker设置:throttled紧急度
- Backport ‘添加作业和脚本在部署后更新回退MR标签’
- Backport ‘更新gitlab-chart摘要到9d9e150’
- Backport of ‘修复缺失的ref属性’
- [18.1] 修复由于标签排序导致的脆弱规范
- Backport ‘Danger在描述性标题缺失时回退MR失败’
- Backport of ‘更新active_add_on_purchase检查以包含自托管检查’
- Backport of E2E测试:使用正确的复选框方法
- Backport of “创建与test-on-omnibus兼容的无操作流水线模板”
升级重要说明
这些版本不包含任何新的迁移,对于多节点部署,不应需要任何停机时间。请注意,默认情况下,无论升级是"大"还是"小”,Omnibus包都将停止、运行迁移并再次启动。可以通过添加/etc/gitlab/skip-auto-reconfigure文件来更改此行为,该文件仅用于更新。
更新
要更新GitLab,请参阅更新页面。 要更新GitLab Runner,请参阅更新Runner页面。
接收补丁通知
要接收发送到收件箱的补丁博客通知,请访问我们的联系我们页面。 要通过RSS接收发布通知,请订阅我们的补丁发布RSS源或所有发布的RSS源。