今天，我们发布了GitLab社区版（CE）和企业版（EE）的版本8.15.4，8.14.6和8.13.11。

这些版本包含重要的安全修补程序，我们建议将所有受影响的GitLab安装程序升级到这些版本之一。 此外，8.15.4版本解决了上个月8.15版本中的一些回归和错误。

8.15.4，8.14.6和8.13.11中的安全修复程序：

• Turbolinks 中的跨站脚本漏洞

这些发行版包括Ruby gem Turbolinks中的跨站点脚本漏洞的补丁。 在加载HTML内容类型的附件时，Turbolinks的2.5.4版本和更早版本容易受到跨站点脚本攻击。 我们发布了一个临时的Turbolinks GitLab分支，同时我们决定迁移到 Turbolinks 5 或放弃 Turbolinks。

• GitLab-Markup中的跨站脚本漏洞

这些发行版还包括一个补丁，用于GitLab Markup gem中的跨站点脚本漏洞，这个漏洞可以通过诱骗用户点击指定原始HTML格式的ReStructuredText文件来利用。

8.15.4中的其他更改:

• CE/EE: Use #parts instead of #part to read all the parts of the Message. (!8507)

• CE/EE: Re-add Google Cloud Storage as a backup strategy (!8481)

• CE/EE: Don't instrument 405 Grape calls (!8445)

• CE/EE: Speed up group milestone index by passing group_id to IssuesFinder (!8363)

• CE/EE: With Gitea v1.0.0, notes are imported (!8298)

• CE/EE: Make successful pipeline emails off for watchers (!8176)

• Omnibus GitLab: Switch to using gitlab-psql for query against db (!1197)

• Omnibus GitLab: Adding /bin/sh to command for analyze_new_cluster.sh call (!1194)

请注意，默认情况下，Omnibus 程序包将停止，无论进行“大”或“小”的升级，你可以迁移后再重新启动，可以通过添加/ etc / gitlab / skip-auto-migrations文件来更改此行为。

完整更新内容请查看发行说明。

下载地址：

• https://about.gitlab.com/downloads/