Ab Omnibus-GitLab 19.0 (und dem nachfolgenden Patch-Release für bestehende unterstützte Versionen) enthalten FIPS-Pakete keine von GitLab gebaute Version von curl mehr. Stattdessen wird das curl-Paket der Linux-Distribution des Kunden verwendet – analog zur bestehenden Praxis, bei der FIPS-Pakete bereits das OpenSSL der Distribution nutzen.
Warum wird diese Änderung vorgenommen?
Diese Änderung ist notwendig, weil curl 8.18.0 die Kompilierung gegen OpenSSL 1.x als veraltet markiert hat. Das verhindert die Fortführung des bisherigen Ansatzes auf Amazon Linux 2 und AlmaLinux 8 (betrifft RHEL-8-Kunden). GitLab stellt die meisten Abhängigkeiten für Omnibus-GitLab selbst bereit, verknüpft in FIPS-Paketen jedoch mit den kryptografischen Bibliotheken der Distribution statt eigene zu bündeln – dieses Modell wird nun auf curl ausgeweitet.
Aus Gründen der Wartbarkeit und Sicherheit wird diese Änderung auf alle FIPS-Pakete angewendet, einschließlich Distributionen mit OpenSSL 3.0 oder höher. Alle FIPS-Kunden sind betroffen.
Was ist zu tun?
GitLab Self-Managed
GitLab 19.0 wird ab dem 21. Mai 2026 verfügbar sein.
Weitere Informationen zum Release-Zeitplan.
Ab dem 19.0 Omnibus-GitLab FIPS-Paket wird das gebündelte curl entfernt und durch das curl der Linux-Distribution des Kunden ersetzt. Die GitLab-Instanz des Kunden funktioniert weiterhin wie erwartet. Diese Änderung hat keine weiteren Auswirkungen und erfordert keine sofortigen Maßnahmen.
Wichtiger Hinweis
GitLab ist künftig nicht mehr für die Bereitstellung von Sicherheitsupdates für curl in FIPS-Paketen verantwortlich. Es obliegt dem Kunden, das curl des eigenen Betriebssystems aktuell zu halten, um Fixes und Sicherheits-Patches zu erhalten. Scanner-Findings für curl spiegeln künftig das Host-OS-Paket wider und nicht mehr eine von GitLab gebündelte Version. Dies entspricht der bestehenden Handhabung von OpenSSL in FIPS-Umgebungen.
Probleme nach der Umstellung?
Bei Bedarf bitte ein Issue im Omnibus-GitLab Issue Tracker öffnen.
