GitLab 发布安全修复版本:11.8.1, 11.7.6 和 11.6.10

栏目: 软件资讯 · 发布时间: 6年前

内容简介:GitLab 为 GitLab 社区版和企业版发布了 11.8.1, 11.7.6 和 11.6.10 版本,这些版本包含许多重要的安全修复程序,强烈建议立即将你正在使用的 GitLab 升级到其中一个版本。 下面介绍一下该版本修复的安全漏洞。 ...

GitLab 为 GitLab 社区版和企业版发布了 11.8.1, 11.7.6 和 11.6.10 版本,这些版本包含许多重要的安全修复程序,强烈建议立即将你正在使用的 GitLab 升级到其中一个版本。

下面介绍一下该版本修复的安全漏洞。

  • 通过 MergeRequestDiff 读取任意文件

当 MergeRequestDiff 对象缺少输入验证时,可导致任意本地文件被读取。该问题现已在最新版本中得到缓解,并已被分配了 CVE-2019-9221 的漏洞编号。

受影响版本

GitLab CE/EE 8.0 及更高版本

  • 合并请求信息被泄露

配置有 MR(Merge request) 的项目只能由项目成员访问,但这些项目可通过特定的 API 端点向非成员公开信息。该问题现在已在最新版本中得到缓解,并已被分配了 CVE-2019-9172 的漏洞编号。

受影响版本

GitLab CE/EE 10.7 及更高版本。

  • 里程碑名称被泄露

当项目是公开的并且 issue 被设置为Only Project Members,非项目成员可通过里程碑自动完成功能和看板端点(board endpoints)获取里程碑名称。这些问题现在已在最新版本中得到缓解,并已被分配 CVE-2019-9171 和 CVE-2019-9224 的漏洞编号。

受影响版本

GitLab CE/EE 8.16

详情请查看发布主页


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

剑指Offer

剑指Offer

何海涛 / 电子工业出版社 / 2014-6-1 / CNY 55.00

《剑指Offer——名企面试官精讲典型编程题(纪念版)》是为纪念本书英文版全球发行而推出的特殊版本,在原版基础上新增大量本书英文版中的精选题目,系统整理基础知识、代码质量、解题思路、优化效率和综合能力这5个面试要点。全书分为8章,主要包括面试流程:讨论面试每一环节需要注意的问题;面试需要的基础知识:从编程语言、数据结构及算法三方面总结程序员面试知识点;高质量代码:讨论影响代码质量的3个要素(规范性......一起来看看 《剑指Offer》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具