皇上,还记得我吗?我就是1999年那个Linux伊甸园啊-----24小时滚动更新开源资讯,全年无休!

GitLab 发布安全修复版本:11.8.1, 11.7.6 和 11.6.10

GitLab 为 GitLab 社区版和企业版发布了 11.8.1, 11.7.6 和 11.6.10 版本,这些版本包含许多重要的安全修复程序,强烈建议立即将你正在使用的 GitLab 升级到其中一个版本。

下面介绍一下该版本修复的安全漏洞。

  • 通过 MergeRequestDiff 读取任意文件

当 MergeRequestDiff 对象缺少输入验证时,可导致任意本地文件被读取。该问题现已在最新版本中得到缓解,并已被分配了 CVE-2019-9221 的漏洞编号。

受影响版本

GitLab CE/EE 8.0 及更高版本

  • 合并请求信息被泄露

配置有 MR(Merge request) 的项目只能由项目成员访问,但这些项目可通过特定的 API 端点向非成员公开信息。该问题现在已在最新版本中得到缓解,并已被分配了 CVE-2019-9172 的漏洞编号。

受影响版本

GitLab CE/EE 10.7 及更高版本。

  • 里程碑名称被泄露

当项目是公开的并且 issue 被设置为 Only Project Members,非项目成员可通过里程碑自动完成功能和看板端点 (board endpoints) 获取里程碑名称。这些问题现在已在最新版本中得到缓解,并已被分配 CVE-2019-9171 和 CVE-2019-9224 的漏洞编号。

受影响版本

GitLab CE/EE 8.16

详情请查看发布主页

转自 https://www.oschina.net/news/104942/gitlab-11-8-1-released-etc

分享到:更多 ()