GitLab 发布安全修复版本 12.6.2、12.5.6 与 12.4.7

内容简介：GitLab 发布了适用于社区版（CE）和企业版（EE）的版本安全修复版本 12.6.2、12.5.6 与 12.4.7。这些版本包含重要的安全修复程序，官方建议立即将所有的 GitLab 安装升级到这些版本之一。 修复的安全问题包括： ...

GitLab 发布了适用于社区版（CE）和企业版（EE）的版本安全修复版本 12.6.2、12.5.6 与 12.4.7。这些版本包含重要的安全修复程序，官方建议立即将所有的 GitLab 安装升级到这些版本之一。

修复的安全问题包括：

• CVE-2019-20144，访问验证不足会导致通过 API 未经授权地更新/删除小组成员。
• CVE-2019-20146，由于某些服务器在处理耗时的查询中缺少参数，某些 GraphQL 查询可能会使应用挂起。
• CVE-2019-20143，在某些情况下，未经身份验证的用户可以访问发行版的里程碑和问题。
• CVE-2019-20147，从项目成员资格中删除组后，组成员有可能通过保护标签 API（Protected Tags API）查看项目命名空间的更改。
• CVE-2019-20145，合并请求被锁定后，用户仍然能够提交草拟的审阅并发布。
• CVE-2019-20142，在 issue 和 commit 页面中添加注释时，恶意用户发送特殊消息可能导致 HTTP 500 代码。
• CVE-2019-20148，当未经身份验证的用户访问取消订阅链接时，可以在某些条件下公开私有项目名称。

• CVE-2020-5197，在特定条件下，用户可以通过通知设置查看私有项目的名称。

关于漏洞的详细信息将在大约 30 天后在问题跟踪器上公开，详情查看更新说明：

https://about.gitlab.com/blog/2020/01/02/security-release-gitlab-12-6-2-released

以上就是本文的全部内容，希望本文的内容对大家的学习或者工作能带来一定的帮助，也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

• fastjson 1.2.55 版本发布，Bug 修复版本
• Swoole v4.6.1 版本发布，Bug 修复版本
• Swoole v4.6.2 版本发布，Bug 修复版本
• Swoole v4.6.4 版本发布，Bug 修复版本
• Swoole v4.6.7 版本发布，Bug 修复版本
• fastjson 1.2.57 版本发布，Bug 修复维护版本

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。