GitLab 9.0.2 发布,修复重要安全漏洞

局长
 局长
发布于 2017年03月31日
收藏 2

GitLab 社区版(CE)和企业版(EE)发布 9.0.2 版本了。

该版本包含了两个重要的安全修复程序:主要是针对 GitLab 9.0 最近推出的嵌套群组功能。建议运行 GitLab 9.0 版本的用户尽快升级。

这些安全漏洞不会影响 GitLab 9.0 之前的版本。详细更新内容如下:

更改子群组的路径以断开到该子群组项目中上传的文件的链接

内部审查代码时发现,当包含有项目的子群组被重命名时,GitLab 将不正确地尝试移动同名顶层项目的 uploads 目录。移动 upload 目录时,GitLab 没有正确引用子群组中的项目的完整路径。此漏洞可能会允许用户重命名他们没拥有的项目的 upload 目录,从而有效地打破了所有的 upload 链接。

私有群组的名称通过嵌套群组在 new/update 中的 parent_id 被泄露

有可能通过尝试在创建子群组名字的时候,获取私有群组的名称。此攻击可能需要识别私有群组的数字 ID,但这些数字 ID 是可预测的,而且也容易猜测。

受影响的版本

GitLab CE+EE 9.0.0 - 9.0.1

建议使用上述版本的用户都升级至 9.0.2

更多内容请参阅 发布主页

下载地址

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:GitLab 9.0.2 发布,修复重要安全漏洞
加载中

精彩评论

首席贱人官
首席贱人官

引用来自“红薯”的评论

动不动就各种漏洞,还是用码云省心
说不准码云漏洞更多!只是你们没发现而已!

最新评论(8

Minho
Minho
Gitlab真是版本帝,三天两头发版本,也太随性了。
loveminer
loveminer

引用来自“红薯”的评论

动不动就各种漏洞,还是用码云省心
回复@红薯 : 对对对,真烂,还是马云省心😜
首席贱人官
首席贱人官

引用来自“红薯”的评论

动不动就各种漏洞,还是用码云省心
说不准码云漏洞更多!只是你们没发现而已!
首席贱人官
首席贱人官
版本帝!
红薯
红薯
动不动就各种漏洞,还是用码云省心
老大哥
老大哥
赶紧升级。
返回顶部
顶部