歡迎您光臨本站 註冊首頁

GitLab 發布安全修復版本 12.6.2、12.5.6 與 12.4.7

←手機掃碼閱讀     admin @ 2020-01-03 , reply:0

GitLab 發布了適用於社區版(CE)和企業版(EE)的版本安全修復版本 12.6.2、12.5.6 與 12.4.7。這些版本包含重要的安全修復程序,官方建議立即將所有的 GitLab 安裝升級到這些版本之一。

修復的安全問題包括:

  • CVE-2019-20144,訪問驗證不足會導致通過 API 未經授權地更新/刪除小組成員。
  • CVE-2019-20146,由於某些伺服器在處理耗時的查詢中缺少參數,某些 GraphQL 查詢可能會使應用掛起。
  • CVE-2019-20143,在某些情況下,未經身份驗證的用戶可以訪問發行版的里程碑和問題。
  • CVE-2019-20147,從項目成員資格中刪除組后,組成員有可能通過保護標籤 API(Protected Tags API)查看項目命名空間的更改。
  • CVE-2019-20145,合併請求被鎖定后,用戶仍然能夠提交草擬的審閱併發布。
  • CVE-2019-20142,在 issue 和 commit 頁面中添加註釋時,惡意用戶發送特殊消息可能導致 HTTP 500 代碼。
  • CVE-2019-20148,當未經身份驗證的用戶訪問取消訂閱鏈接時,可以在某些條件下公開私有項目名稱。
  • CVE-2020-5197,在特定條件下,用戶可以通過通知設置查看私有項目的名稱。

關於漏洞的詳細信息將在大約 30 天後在問題跟蹤器上公開,詳情查看更新說明:

https://about.gitlab.com/blog/2020/01/02/security-release-gitlab-12-6-2-released


[admin ]

來源:OsChina
連結:https://www.oschina.net/news/112511/gitlab-12-6-2-n-12-5-6-n-12-4-7-released
GitLab 發布安全修復版本 12.6.2、12.5.6 與 12.4.7已經有225次圍觀

http://coctec.com/news/all/show-post-221978.html