GitLab 发布安全修复版本 11.10.2、11.9.10 和 11.8.9

xplanet
 xplanet
发布于 2019年04月30日
收藏 2

GitLab 为社区版和企业版发布了最新的 11.10.2、11.9.10 和 11.8.9 版本。这些版本包含重要的安全修复程序,官方表示强烈建议用户立即将所有 GitLab 安装升级到其中一个版本。

漏洞问题及受影响的版本如下:

  • 当 issue 被移动到私有项目时,私有项目命名空间会被泄露给可以访问原始问题的未授权用户
    • CVE-2019-11545
    • 受影响版本:GitLab 社区/企业 11.9 及更高版本
  • 非会员用户订阅受限制的的内部项目通知后,也会收到有关受限内容的电子邮件
    •  CVE-2019-11544
    • 受影响版本:GitLab 社区/企业 8.10 及更高版本
  • 项目的非特权成员能够通过注释端点中的授权问题发布有关机密问题的评论
    •  CVE-2019-11548
    • 受影响版本:GitLab 社区/企业 5.4.0 到 11.8.8 版本
  • 竞争条件漏洞:该漏洞可能允许用户多次批准合并请求,并可能达到合并所需的批准计数
    •  CVE-2019-11546
    • 受影响版本:GitLab 社区/企业 8.6 及更高版本
  • 新合并请求通知电子邮件中的分支名称未被转义,这可能会导致 XSS 问题
    •  CVE-2019-11547
    • 受影响版本:GitLab 社区/企业 6.0.0 及更高版本
  • HTTP / GIT 凭据包含在连接错误的日志中,导致信息披露
    •  CVE-2019-11549
    • 受影响版本:GitLab 社区/企业 9.0 及更高版本

建议所有用户尽快升级到 11.10.2、11.9.10 和 11.8.9 的其中一个版本,以修复上述安全漏洞。

下载地址和发布公告请点此查看

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:GitLab 发布安全修复版本 11.10.2、11.9.10 和 11.8.9
加载中

最新评论(2

l
liminghua888
又是安全 又是漏洞 又是泄露源码 又是账户被盗 哈哈
游侠小陆
定支持giteat
返回顶部
顶部