GitLab 9.0.4、8.17.5 和 8.16.9 发布,各种漏洞修复

王练
 王练
发布于 2017年04月07日
收藏 1

GitLab 社区版(CE)和企业版(EE)9.0.4,8.17.5 和 8.16.9 版本发布了。

这些版本包含几个安全修复程序,包括 Mattermost 的安全性升级,使用类属性的脚本注入的修复程序,私有项目名称泄露漏洞的修复程序,文件路径泄漏漏洞的修复程序以及两个打开的重定向漏洞的修复。开发团队建议所有 GitLab 安装都升级到这些版本之一。

Mattermost 3.7 和 3.6 版本升级

Mattermost 尚未发布全部细节,但是发布了重要的安全版本,Mattermost 已经建议所有用户立即升级。 GitLab 8.16 和 8.17 已升级到 Mattermost 3.6.5,GitLab 9.0 已升级到 Mattermost 3.7.3 。 #2179

Markdown 代码中未经过滤的类属性

Chalker 通过 HackerOne 报告了脚本注入漏洞,允许攻击者通过未经过滤的类定义来执行 Gitlab Javascript 代码。这种攻击仅限于可以通过类名引用的预先存在的 JavaScript。#30125

私有项目名称在合并请求中被披露

ERNW 的 Timo Schmid 在 GitLab 合并请求中报告了一个信息泄露漏洞,允许攻击者披露私有存储库的名称。 #29364

项目出入路径披露

来自 ERNW 的 Timo Schmid 还报告了 GitLab 项目导入功能中的信息泄漏漏洞,允许攻击者在从 GitLab 导出文件中导入时,透露 GitLab 导出目录的完整路径名。也可以通过反复尝试创建项目导出文件来公开路径。 #29363

……

更多详情查看发行日志

漏洞影响版本:

Markdown 代码中未经过滤的类属性:

  • GitLab CE + EE 8.0.0-8.16.8,8.17.0-8.17.4,9.0.0-9.0.3

合并请求中的私有项目名称披露:

  • GitLab CE + EE 7.1.0-8.16.8,8.17.0-8.17.4,9.0.0-9.0.3

项目出入路径披露:

  • GitLab CE + EE 8.8.0-8.16.8,8.17.0-8.17.4,9.0.0-9.0.3

在仪表板中打开重定向:

  • GitLab CE + EE 8.16.0-8.16.8,8.17.0-8.17.4,9.0.0-9.0.3

在项目导入状态下打开重定向:

  • GitLab CE + EE 8.6.0-8.16.8,8.17.0-8.17.4,9.0.0-9.0.3

建议上述版本尽快升级,没有其它解决方法可用于这些漏洞。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:GitLab 9.0.4、8.17.5 和 8.16.9 发布,各种漏洞修复
加载中

精彩评论

一刀
一刀
请把gitlab的新闻做出一个模板,每天更新一下版本号即可。
标题: GitLab {versions} 发布,各种漏洞修复

最新评论(4

itwjc
itwjc
qqq
一刀
一刀
请把gitlab的新闻做出一个模板,每天更新一下版本号即可。
标题: GitLab {versions} 发布,各种漏洞修复
老大哥
老大哥
已升级
netkiller-
netkiller-
每天升级一次:)
返回顶部
顶部