GitLab 9.0.2 发布,修复重要安全漏洞

释放双眼,带上耳机,听听看~!

文章转载开源中国

GitLab 社区版(CE)和企业版(EE)发布 9.0.2 版本了。

该版本包含了两个重要的安全修复程序:主要是针对 GitLab 9.0 最近推出的嵌套群组功能。建议运行 GitLab 9.0 版本的用户尽快升级。

这些安全漏洞不会影响 GitLab 9.0 之前的版本。详细更新内容如下:

更改子群组的路径以断开到该子群组项目中上传的文件的链接

内部审查代码时发现,当包含有项目的子群组被重命名时,GitLab 将不正确地尝试移动同名顶层项目的 uploads 目录。移动 upload 目录时,GitLab 没有正确引用子群组中的项目的完整路径。此漏洞可能会允许用户重命名他们没拥有的项目的 upload 目录,从而有效地打破了所有的 upload 链接。

私有群组的名称通过嵌套群组在 new/update 中的 parent_id 被泄露

有可能通过尝试在创建子群组名字的时候,获取私有群组的名称。此攻击可能需要识别私有群组的数字 ID,但这些数字 ID 是可预测的,而且也容易猜测。

受影响的版本

GitLab CE+EE 9.0.0 – 9.0.1

建议使用上述版本的用户都升级至 9.0.2

更多内容请参阅 发布主页

下载地址

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

漏洞预警:GitLab 权限泄露漏洞

2017-3-21 11:12:22

安全漏洞

谷歌的 20 万美元漏洞悬赏几乎无人问津,被指钱太少没诚意!

2017-4-3 11:12:22

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索