GitLab 9.0.4、8.17.5 和 8.16.9 发布,各种漏洞修复

2017年04月07日

GitLab 社区版(CE)和企业版(EE)9.0.4,8.17.5 和 8.16.9 版本发布了。

这些版本包含几个安全修复程序,包括 Mattermost 的安全性升级,使用类属性的脚本注入的修复程序,私有项目名称泄露漏洞的修复程序,文件路径泄漏漏洞的修复程序以及两个打开的重定向漏洞的修复。开发团队建议所有 GitLab 安装都升级到这些版本之一。

Mattermost 3.7 和 3.6 版本升级

Mattermost 尚未发布全部细节,但是发布了重要的安全版本,Mattermost 已经建议所有用户立即升级。 GitLab 8.16 和 8.17 已升级到 Mattermost 3.6.5,GitLab 9.0 已升级到 Mattermost 3.7.3 。 #2179

Markdown 代码中未经过滤的类属性

Chalker 通过 HackerOne 报告了脚本注入漏洞,允许攻击者通过未经过滤的类定义来执行 Gitlab Javascript 代码。这种攻击仅限于可以通过类名引用的预先存在的 JavaScript。#30125

私有项目名称在合并请求中被披露

ERNW 的 Timo Schmid 在 GitLab 合并请求中报告了一个信息泄露漏洞,允许攻击者披露私有存储库的名称。 #29364

项目出入路径披露

来自 ERNW 的 Timo Schmid 还报告了 GitLab 项目导入功能中的信息泄漏漏洞,允许攻击者在从 GitLab 导出文件中导入时,透露 GitLab 导出目录的完整路径名。也可以通过反复尝试创建项目导出文件来公开路径。 #29363

……

更多详情查看发行日志

漏洞影响版本:

Markdown 代码中未经过滤的类属性:

  • GitLab CE + EE 8.0.0-8.16.8,8.17.0-8.17.4,9.0.0-9.0.3

合并请求中的私有项目名称披露:

  • GitLab CE + EE 7.1.0-8.16.8,8.17.0-8.17.4,9.0.0-9.0.3

项目出入路径披露:

  • GitLab CE + EE 8.8.0-8.16.8,8.17.0-8.17.4,9.0.0-9.0.3

在仪表板中打开重定向:

  • GitLab CE + EE 8.16.0-8.16.8,8.17.0-8.17.4,9.0.0-9.0.3

在项目导入状态下打开重定向:

  • GitLab CE + EE 8.6.0-8.16.8,8.17.0-8.17.4,9.0.0-9.0.3

建议上述版本尽快升级,没有其它解决方法可用于这些漏洞。

展开阅读全文
1 收藏
分享
加载中
精彩评论
请把gitlab的新闻做出一个模板,每天更新一下版本号即可。
标题: GitLab {versions} 发布,各种漏洞修复
2017-04-07 17:50
1
举报
最新评论 (4)
qqq
2017-04-07 20:22
0
回复
举报
请把gitlab的新闻做出一个模板,每天更新一下版本号即可。
标题: GitLab {versions} 发布,各种漏洞修复
2017-04-07 17:50
1
回复
举报
已升级
2017-04-07 14:26
0
回复
举报
每天升级一次:)
2017-04-07 10:55
0
回复
举报
更多评论
4 评论
1 收藏
分享
返回顶部
顶部