皇上,还记得我吗?我就是1999年那个Linux伊甸园啊-----24小时滚动更新开源资讯,全年无休!

GitLab 9.0.2 发布,修复重要安全漏洞

GitLab

GitLab 社区版(CE)和企业版(EE)发布 9.0.2 版本了。

该版本包含了两个重要的安全修复程序:主要是针对 GitLab 9.0 最近推出的嵌套群组功能。建议运行 GitLab 9.0 版本的用户尽快升级。

这些安全漏洞不会影响 GitLab 9.0 之前的版本。详细更新内容如下:

更改子群组的路径以断开到该子群组项目中上传的文件的链接

内部审查代码时发现,当包含有项目的子群组被重命名时,GitLab 将不正确地尝试移动同名顶层项目的 uploads 目录。移动 upload 目录时,GitLab 没有正确引用子群组中的项目的完整路径。此漏洞可能会允许用户重命名他们没拥有的项目的 upload 目录,从而有效地打破了所有的 upload 链接。

私有群组的名称通过嵌套群组在 new/update 中的 parent_id 被泄露

有可能通过尝试在创建子群组名字的时候,获取私有群组的名称。此攻击可能需要识别私有群组的数字 ID,但这些数字 ID 是可预测的,而且也容易猜测。

受影响的版本

GitLab CE+EE 9.0.0 – 9.0.1

建议使用上述版本的用户都升级至 9.0.2

更多内容请参阅 发布主页

下载地址

转自 http://www.oschina.net/news/83428/gitlab-9-0-2-released

分享到:更多 ()