GitLab 发布安全修复版本:11.8.1, 11.7.6 和 11.6.10

2019年03月06日

GitLab 为 GitLab 社区版和企业版发布了 11.8.1, 11.7.6 和 11.6.10 版本,这些版本包含许多重要的安全修复程序,强烈建议立即将你正在使用的 GitLab 升级到其中一个版本。

下面介绍一下该版本修复的安全漏洞。

  • 通过 MergeRequestDiff 读取任意文件

当 MergeRequestDiff 对象缺少输入验证时,可导致任意本地文件被读取。该问题现已在最新版本中得到缓解,并已被分配了 CVE-2019-9221 的漏洞编号。

受影响版本

GitLab CE/EE 8.0 及更高版本

  • 合并请求信息被泄露

配置有 MR(Merge request) 的项目只能由项目成员访问,但这些项目可通过特定的 API 端点向非成员公开信息。该问题现在已在最新版本中得到缓解,并已被分配了 CVE-2019-9172 的漏洞编号。

受影响版本

GitLab CE/EE 10.7 及更高版本。

  • 里程碑名称被泄露

当项目是公开的并且 issue 被设置为Only Project Members,非项目成员可通过里程碑自动完成功能和看板端点(board endpoints)获取里程碑名称。这些问题现在已在最新版本中得到缓解,并已被分配 CVE-2019-9171 和 CVE-2019-9224 的漏洞编号。

受影响版本

GitLab CE/EE 8.16

详情请查看发布主页

展开阅读全文
1 收藏
分享
加载中
更多评论
0 评论
1 收藏
分享
返回顶部
顶部