歡迎您光臨本站 註冊首頁

GitLab 釋出安全補丁版本 13.2.3、13.1.6 和 13.0.12

←手機掃碼閱讀     admin @ 2020-08-08 , reply:0

GitLab 釋出了 13.2.3、13.1.6 和 13.0.12,這是幾個安全補丁版本。

安全問題包括:

  • CVE-2020-10977在專案之間移動 issue 時,GitLab EE/CE 8.5-12.9 容易受到路徑遍歷的影響。
  • CVE-2020-13280:與傳送給已刪除組成員的邀請電子郵件有關的過多錯誤日誌記錄可能會導致資源較少的計算機上的記憶體耗盡。影響所有此前的 GitLab 版本。
  • CVE-2020-13281:在解壓縮資料之前,專案匯入功能未執行大小檢查,可能導致拒絕服務。影響 GitLab 8.9 及更高版本。
  • CVE-2020-13286:透過 URL 匯入儲存庫時,http.<url>.proxy可以更改 git 設定並導致 SSRF。影響 GitLab 12.7 及更高版本。
  • CVE-2020-13285:對於某些瀏覽器,issue reference 工具提示可能會導致滑鼠懸停處發生儲存型 XSS。影響 GitLab EE 12.9 及更高版本。
  • CVE-2020-13283:在特定條件下在 issue 列表上檢視時,里程碑標題欄位可能會導致儲存型 XSS。影響 GitLab 10.8 及更高版本。
  • CVE-2020-13282:轉移子組後,父組的成員會無提示地保持其訪問級別。影響所有版本。
  • CVE-2020-13292:可以繞過 OAuth 授權程式碼流所需的電子郵件驗證,可能會影響使用 GitLab 作為身份提供者的第三方應用程式。影響所有版本。
  • CVE-2020-13293:使用具有十六進位制名稱的分支可能會覆蓋現有雜湊。影響所有版本。
  • CVE-2020-13294:使用者撤消對應用的訪問權時,訪問權授予未被撤消。影響 GitLab 7.7 及更高版本。
  • CVE-2020-13291:專案共享可能會暫時允許過於寬鬆的訪問。影響 GitLab 13.2 和更高版本。

詳情檢視釋出公告:https://about.gitlab.com/releases/2020/08/05/gitlab-13-2-3-released


[admin ]

來源:OsChina
連結:https://www.oschina.net/news/117769/gitlab-security-update
GitLab 釋出安全補丁版本 13.2.3、13.1.6 和 13.0.12已經有35次圍觀

http://coctec.com/news/all/show-post-247676.html