Linuxeden开源社区GitLab 发布了 13.2.3、13.1.6 和 13.0.12,这是几个安全补丁版本。
安全问题包括:
- CVE-2020-10977:在项目之间移动 issue 时,GitLab EE/CE 8.5-12.9 容易受到路径遍历的影响。
- CVE-2020-13280:与发送给已删除组成员的邀请电子邮件有关的过多错误日志记录可能会导致资源较少的计算机上的内存耗尽。影响所有此前的 GitLab 版本。
- CVE-2020-13281:在解压缩数据之前,项目导入功能未执行大小检查,可能导致拒绝服务。影响 GitLab 8.9 及更高版本。
- CVE-2020-13286:通过 URL 导入存储库时,
http.<url>.proxy可以更改 git 设置并导致 SSRF。影响 GitLab 12.7 及更高版本。 - CVE-2020-13285:对于某些浏览器,issue reference 的工具提示可能会导致鼠标悬停处发生存储型 XSS。影响 GitLab EE 12.9 及更高版本。
- CVE-2020-13283:在特定条件下在 issue 列表上查看时,里程碑标题字段可能会导致存储型 XSS。影响 GitLab 10.8 及更高版本。
- CVE-2020-13282:转移子组后,父组的成员会无提示地保持其访问级别。影响所有版本。
- CVE-2020-13292:可以绕过 OAuth 授权代码流所需的电子邮件验证,可能会影响使用 GitLab 作为身份提供者的第三方应用程序。影响所有版本。
- CVE-2020-13293:使用具有十六进制名称的分支可能会覆盖现有哈希。影响所有版本。
- CVE-2020-13294:用户撤消对应用的访问权时,访问权授予未被撤消。影响 GitLab 7.7 及更高版本。
- CVE-2020-13291:项目共享可能会暂时允许过于宽松的访问。影响 GitLab 13.2 和更高版本。
详情查看发布公告:https://about.gitlab.com/releases/2020/08/05/gitlab-13-2-3-released
转自 https://www.oschina.net/news/117769/gitlab-security-update