GitLab 发布安全修复版本:11.8.1, 11.7.6 和 11.6.10

局长
 局长
发布于 2019年03月06日
收藏 1

GitLab 为 GitLab 社区版和企业版发布了 11.8.1, 11.7.6 和 11.6.10 版本,这些版本包含许多重要的安全修复程序,强烈建议立即将你正在使用的 GitLab 升级到其中一个版本。

下面介绍一下该版本修复的安全漏洞。

  • 通过 MergeRequestDiff 读取任意文件

当 MergeRequestDiff 对象缺少输入验证时,可导致任意本地文件被读取。该问题现已在最新版本中得到缓解,并已被分配了 CVE-2019-9221 的漏洞编号。

受影响版本

GitLab CE/EE 8.0 及更高版本

  • 合并请求信息被泄露

配置有 MR(Merge request) 的项目只能由项目成员访问,但这些项目可通过特定的 API 端点向非成员公开信息。该问题现在已在最新版本中得到缓解,并已被分配了 CVE-2019-9172 的漏洞编号。

受影响版本

GitLab CE/EE 10.7 及更高版本。

  • 里程碑名称被泄露

当项目是公开的并且 issue 被设置为Only Project Members,非项目成员可通过里程碑自动完成功能和看板端点(board endpoints)获取里程碑名称。这些问题现在已在最新版本中得到缓解,并已被分配 CVE-2019-9171 和 CVE-2019-9224 的漏洞编号。

受影响版本

GitLab CE/EE 8.16

详情请查看发布主页

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:GitLab 发布安全修复版本:11.8.1, 11.7.6 和 11.6.10
加载中
返回顶部
顶部