内容简介:GitLab 发布了社区与企业版 11.11.1、11.10.5 与 11.9.12,这几个版本包含了重要的漏洞修复程序,官方建议用户立即升级到其中之一。GitLab 11.11、11.10 和 11.9 软件包中,Knative 已经升级到了 0.5 版本,版本包...
GitLab 发布了社区与企业版 11.11.1、11.10.5 与 11.9.12,这几个版本包含了重要的漏洞修复程序,官方建议用户立即升级到其中之一。GitLab 11.11、11.10 和 11.9 软件包中,Knative 已经升级到了 0.5 版本,版本包含多个安全修复程序。
更新涉及到的安全漏洞包括:
- 特制的有效负载使得经过身份验证的恶意用户通过 repo 下载功能远程执行命令:CVE-2019-12430
- 订阅问题通知的非会员用户可以通过取消订阅页面访问机密问题的标题:CVE-2019-12432
- 受限用户可以通过 Search API 访问私有里程碑的元数据:CVE-2019-12431
- 用户可以通过问题的目标 URL 猜测私有项目的 URL slug:CVE-2019-12434
- 非特权用户可以通过里程碑详细信息页面访问机密问题的标签、状态和合并请求数量:CVE-2019-12429
- 用户可以通过发送特制请求来绕过强制性外部身份验证提供程序登录限制:CVE-2019-12428
- 受限制的可见性设置允许在私有组中创建内部项目,从而导致多个权限问题:CVE-2019-12433
- 多个功能包含由于验证不充分而导致的服务器端请求伪造(SSRF)漏洞:CVE-2019-12443
- Wiki Pages 缺少输入验证,会导致存储型 XSS:CVE-2019-12444
- 恶意用户可以通过导入特制的项目文件在注释上执行 JavaScript 代码:CVE-2019-12445
- 按 URL 导入存储库时出现故障将显示包含要导入的存储库的明文密码的错误页面:CVE-2019-12446
- 受保护的分支功能包含访问控制问题,导致绕过受保护的分支限制规则:CVE-2019-12441
- epic 详细信息页面缺少输入验证和输出编码,这导致子 epic 中存在存储型 XSS 漏洞:CVE-2019-12442
发布说明:
https://about.gitlab.com/2019/06/03/security-release-gitlab-11-dot-11-dot-1-released
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- cordova热更新和App升级
- ShowDoc 更新:新增一键自动安装/升级脚本
- ShowDoc 更新:新增一键自动安装/升级脚本
- Kubernetes更新补丁 修复重要权限升级缺陷
- Android应用程序的自动更新升级
- WGCLOUD 监控系统更新,公众看板服务模块升级
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
XML 在线格式化
在线 XML 格式化压缩工具
UNIX 时间戳转换
UNIX 时间戳转换