GitLab 发布安全更新版本:10.3.4, 10.2.6 和 10.1.6

局长
 局长
发布于 2018年01月17日
收藏 2

GitLab 为社区版和企业版发布了 10.3.4, 10.2.6 和 10.1.6 这三个版本的更新。官方表示,这些版本包含许多重要的安全修复程序,包含对远程代码执行漏洞的修复,强烈建议所有 GitLab 用户都立即升级到其中一个版本。

下面简单介绍下其中三个漏洞。

GitLab 项目导入中的远程代码执行漏洞

GitLab 项目导入组件包含一个漏洞,该漏洞允许攻击者将文件写入服务器上的任意目录,并可能导致远程执行代码。对于此漏洞,该版本已提供有效的漏洞缓解措施,并将其标记为 CVE-2017-0915 和 CVE-2018-3710

受影响的版本

  • GitLab CE and EE 8.9.0 - 9.5.10

  • GitLab CE and EE 10.0.0 - 10.1.5

  • GitLab CE and EE 10.2.0 - 10.2.5

  • GitLab CE and EE 10.3.0 - 10.3.3

GitLab CI Runner 可读取所有其他项目的缓存

在 CI runner 中发现了一个路径遍历漏洞,该漏洞允许恶意用户读取其他项目缓存。此漏洞现已被修复,并被标记为 CVE-2017-0918

受影响的版本

  • GitLab CE and EE 8.4.0 - 9.5.10

  • GitLab CE and EE 10.0.0 - 10.1.5

  • GitLab CE and EE 10.2.0 - 10.2.5

  • GitLab CE and EE 10.3.0 - 10.3.3

Jupyter Notebook XSS

具有 Jupyter Notebooks 的项目可以执行外部 JavaScript。这个 XSS 漏洞是由 Jupyter Notebooks 中的无标签输出引起的。输出现在在渲染之前已经过正确的审查。此漏洞被标记为 CVE-2017-0923

受影响版本

  • GitLab CE and EE 8.4.0 - 9.5.10

  • GitLab CE and EE 10.0.0 - 10.1.5

  • GitLab CE and EE 10.2.0 - 10.2.5

  • GitLab CE and EE 10.3.0 - 10.3.3

还有许多其他漏洞的修复,详情请点此查看

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:GitLab 发布安全更新版本:10.3.4, 10.2.6 和 10.1.6
加载中

最新评论(4

开源中国首席罗纳尔多
开源中国首席罗纳尔多
没有java版的吗?
没有头像也是一种帅
没有头像也是一种帅
我只说四个字 gogs
吞鱼小王子
吞鱼小王子
@红薯 此漏洞现已有所缓解
Chet_W
Chet_W
“此漏洞现已有所缓解”啥意思?
返回顶部
顶部