GitLab补丁发布:18.3.2、18.2.6、18.1.6
今天,我们发布了GitLab社区版(CE)和企业版(EE)的18.3.2、18.2.6、18.1.6版本。这些版本包含了重要的错误和安全修复,我们强烈建议所有自托管的GitLab安装立即升级到这些版本之一。GitLab.com已经运行了修补版本。GitLab Dedicated客户无需采取行动。
GitLab在补丁发布中修复漏洞。补丁发布有两种类型:计划发布和针对高严重性漏洞的临时关键补丁。计划发布每月在第二个和第四个星期三发布两次。
推荐操作
我们强烈建议所有运行受以下问题影响的版本安装尽快升级到最新版本。当未提及产品的特定部署类型(omnibus、源代码、helm chart等)时,意味着所有类型都受到影响。
安全修复
安全修复表
| 标题 | 严重性 |
|---|---|
| SAML响应中的拒绝服务问题影响GitLab CE/EE | 高 |
| Webhook自定义头中的服务器端请求伪造问题影响GitLab CE/EE | 高 |
| 用户可控字段中的拒绝服务问题影响GitLab CE/EE | 中 |
| 端点文件上传中的拒绝服务问题影响GitLab CE/EE | 中 |
| 令牌列表操作中的拒绝服务问题影响GitLab CE/EE | 中 |
| 运行器端点中的信息泄露问题影响GitLab CE/EE | 中 |
详细安全修复
CVE-2025-2256 - SAML响应中的拒绝服务问题影响GitLab CE/EE
GitLab修复了一个问题,该问题可能允许未经授权的用户通过发送多个并发的大型SAML响应使GitLab实例对合法用户无响应。
受影响版本:GitLab CE/EE:从7.12到18.1.6之前的所有版本,18.2到18.2.6之前的所有版本,以及18.3到18.3.2之前的所有版本
CVSS 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
感谢yuki_osaki通过我们的HackerOne漏洞赏金计划报告此漏洞。
CVE-2025-6454 - Webhook自定义头中的服务器端请求伪造问题影响GitLab CE/EE
GitLab修复了一个问题,该问题可能允许经过身份验证的用户通过注入精心设计的序列在代理环境中进行意外的内部请求。
受影响版本:GitLab CE/EE:从16.11到18.1.6之前的所有版本,18.2到18.2.6之前的所有版本,以及18.3到18.3.2之前的所有版本
CVSS 8.5 (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H)
感谢ppee通过我们的HackerOne漏洞赏金计划报告此漏洞。
CVE-2025-1250 - 用户可控字段中的拒绝服务问题影响GitLab CE/EE
GitLab修复了一个问题,该问题可能允许经过身份验证的用户通过发送特殊设计的提交消息、合并请求描述或注释来停滞后台作业处理。
受影响版本:GitLab CE/EE:从15.0到18.1.6之前的所有版本,18.2到18.2.6之前的所有版本,以及18.3到18.3.2之前的所有版本
CVSS: 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
感谢pwnie通过我们的HackerOne漏洞赏金计划报告此漏洞。
CVE-2025-7337 - 端点文件上传中的拒绝服务问题影响GitLab CE/EE
GitLab修复了一个问题,该问题可能允许具有开发者级别访问权限的经过身份验证的用户通过上传大文件导致影响GitLab实例上所有用户的持久拒绝服务。
受影响版本:GitLab CE/EE:从7.8到18.1.6之前的所有版本,18.2到18.2.6之前的所有版本,以及18.3到18.3.2之前的所有版本
CVSS: 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
感谢pwnie通过我们的HackerOne漏洞赏金计划报告此漏洞。
CVE-2025-10094 - 令牌列表操作中的拒绝服务问题影响GitLab CE/EE
GitLab修复了一个问题,该问题可能允许经过身份验证的用户通过创建具有过大名称的令牌来中断对令牌列表和相关管理操作的访问。
受影响版本:GitLab CE/EE:从10.7到18.1.6之前的所有版本,18.2到18.2.6之前的所有版本,以及18.3到18.3.2之前的所有版本
CVSS: 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
感谢pwnie通过我们的HackerOne漏洞赏金计划报告此漏洞。
CVE-2025-6769 - 运行器端点中的信息泄露问题影响GitLab CE/EE
GitLab修复了一个问题,该问题可能允许经过身份验证的用户通过特定接口访问运行器详细信息来查看仅限管理员查看的维护说明。
受影响版本:GitLab CE/EE:从15.1到18.1.6之前的所有版本,18.2到18.2.6之前的所有版本,以及18.3到18.3.2之前的所有版本
CVSS: 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)
感谢iamgk808通过我们的HackerOne漏洞赏金计划报告此漏洞。
错误修复
18.3.2
- 回传"在clickhouse http调用中忽略silent_mode"
- 回传"更新gitlab-shell到v14.45.0"
- 回退"将分支’marina.mosti-543725-reviewer-dropdown-ce’合并到’master'"
- 回传"仅为带有链接的标题创建目录"
- 回传修复Firefox中的webauthn认证 - 18.3
- 回传将延迟删除cronjob设置移动到CE
- 回传’在稳定分支流水线中禁用gdk-update作业'
- 回传更新gitlab-sshd以放宽FIPS允许的算法
- 回传’仅显示根组的MCP设置'
- 回传’修复高级代码搜索的共享组访问'
- 回传:修复Gitlab:Auth:IpRateLimiter中的nil错误
- 回传’将比较链接添加到子模块差异’到18.3
- 回传"回退’新项目不会自动从组级别继承'"
- 回传"修复同步带有加号的文件名的远程存储Blob"
- 回传’使FileLocationType.endLine可为空’用于18.3
- 回传更新csp_enabled?以始终返回布尔值
- 回传修复LdapAllAddOnSeatSyncWorker在未配置组时删除席位
- 回传’回退仅在特定流水线中的gem缓存'
- 更新gitlab-shell到v14.45.2以允许ED25519用于FIPS
- [18.3] 移除不稳定的spec
- 回传差异评论建议行范围修复
- 添加ruby 3.2.9的校验和
18.2.6
- 更新gitlab-shell到v14.45.0
- 回传"仅为带有链接的标题创建目录"
- 回传更新gitlab-sshd以放宽FIPS允许的算法
- 回传’在稳定分支流水线中禁用gdk-update作业'
- 回传’修复高级代码搜索的共享组访问'
- 回传’修复Bitbucket Server Importer入队作业计数'
- 回传’修复:Geo::ModelMapper不稳定性'
- 回传’将比较链接添加到子模块差异’到18.2
- 回传’使FileLocationType.endLine可为空’用于18.2
- 回传更新csp_enabled?以始终返回布尔值
- 回传"修复同步带有加号的文件名的远程存储Blob"
- 更新gitlab-shell到v14.45.2以允许ED25519用于FIPS
- [18.2] 移除不稳定的spec
- 回传18-2:修复spec标签名称源
18.1.6
- 回传’修复无法加载此类文件 – gitlab'
- 回传修复’Bitbucket Server Importer入队作业计数'
- 回传’使FileLocationType.endLine可为空’用于18.1
升级重要说明
这些版本不包含任何新的迁移,对于多节点部署,不应需要任何停机时间。请注意,默认情况下,Omnibus包将停止、运行迁移并再次启动,无论升级是"大"还是"小"。可以通过添加/etc/gitlab/skip-auto-reconfigure文件来更改此行为,该文件仅用于更新。
更新
要更新GitLab,请参阅更新页面。要更新GitLab Runner,请参阅更新Runner页面。
接收补丁通知
要接收发送到收件箱的补丁博客通知,请访问我们的联系我们页面。要通过RSS接收发布通知,请订阅我们的补丁发布RSS源或所有发布的RSS源。