Gitlab 的安全漏洞是不是太多了点?

Stella981
• 阅读 818

Gitlab 又又又发布了重要的安全更新补丁 12.4.1, 12.3.6, 和 12.2.9 ,包括社区版和企业版。包含重要的安全更新,官方再次强烈建议所有 Gitlab 用户立即更新!!!

看看从今年 7 月份到现在,Gitlab 发布了多少安全补丁更新,每一次官方都是强烈建议立即更新!

Gitlab 的安全漏洞是不是太多了点?

那么这一次又有什么新漏洞呢? 

1. 合并请求的源分支可能被未授权用户删除

漏洞编号:CVE-2019-18446. 影响版本包括 GitLab CE/EE 8.15 以及以后的版本。

2. 私有组的成员列表泄露

漏洞编号:CVE-2019-18447 ,影响所有的 Gitlab 版本

3. ElasticSearch 集成模块导致系统说明泄露

漏洞编号 CVE-2019-18460, 影响 Gitlab 8.8.3 以及以后版本。

4. ElasticSearch 集成模块导致私有评论泄露

漏洞编号 CVE-2019-18456. 影响 GitLab EE 8.17 以及以后版本

5. 通过使用蛮力,未经授权的用户可以检查是否存在私有存储库

漏洞编号 CVE-2019-18448 ,影响所有 Gitlab 版本

6. 项目标签泄露

漏洞编号 CVE-2019-18450, 影响所有 Gitlab 版本。

7. 私有项目路径和标签泄露

漏洞编号 GitLab CE/EE 11.3 ,影响 GitLab CE/EE 11.3 以及以后版本

8. 嵌套的 GraphQL 查询导致无法控制的资源消耗

漏洞编号 CVE-2019-18455 ,影响 GitLab CE/EE 11 以及以后版本。

9. 评论的访问控制不当

漏洞编号 CVE-2019-18453. ,影响 11.6 以后版本

10. 哨兵令牌访问控制

在Sentry令牌处理中发现的授权问题,该问题允许访问降级的用户。 

漏洞编号 CVE-2019-18457, 影响 11.8 以后版本

11. 项目转移选项的授权检查

将项目转移到另一个组功能所需的授权检查允许具有开发人员权限的用户转移项目。

漏洞编号 CVE-2019-18458.,影响 Gitlab CE 10.5 以后版本

12. 使用 RDoc 的 Wiki 页面的 XSS 漏洞

RDoc Wiki页面的链接验证包含一个问题,该问题可能会被利用到一个持久的XSS漏洞。

漏洞编号 CVE-2019-18454, 影响 GitLab CE/EE 10.5 以后版本

13. 不受信任的输入导致内部重定向

内部审查确定了InternalRedirect过滤中的一个问题,允许进行开放式重定向攻击。

漏洞编号 CVE-2019-18451,影响 GitLab CE/EE 10.7.4  以后版本

14. 受保护环境的访问控制漏洞

内部审查确定,即使在撤离小组之后,小组仍可以保持对受保护环境的访问权限

漏洞编号 CVE-2019-18459 影响版本 GitLab CE/EE 11.3 to 12.3

15. 私有的子组路径泄露

当将子组添加到公共组时,将公开私有子组路径。

漏洞编号 CVE-2019-18461 影响 GitLab CE/EE 12.0 以后版本。

16. 组的包列表泄露

未经授权的用户可以列出组的软件包。

漏洞编号 CVE-2019-18463. 影响 GitLab CE/EE 12.0 以后版本

17. 私有仓库名泄露

未经授权的用户可以确认私有存储库的名称。

漏洞编号 CVE-2019-18462. 影响 GitLab CE/EE 12.2 以后版本。

官方发行说明 https://about.gitlab.com/blog/2019/10/30/security-release-gitlab-12-dot-4-dot-1-released/

点赞
收藏
评论区
推荐文章
blmius blmius
3年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
皕杰报表之UUID
​在我们用皕杰报表工具设计填报报表时,如何在新增行里自动增加id呢?能新增整数排序id吗?目前可以在新增行里自动增加id,但只能用uuid函数增加UUID编码,不能新增整数排序id。uuid函数说明:获取一个UUID,可以在填报表中用来创建数据ID语法:uuid()或uuid(sep)参数说明:sep布尔值,生成的uuid中是否包含分隔符'',缺省为
待兔 待兔
5个月前
手写Java HashMap源码
HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程22
Jacquelyn38 Jacquelyn38
3年前
2020年前端实用代码段,为你的工作保驾护航
有空的时候,自己总结了几个代码段,在开发中也经常使用,谢谢。1、使用解构获取json数据let jsonData  id: 1,status: "OK",data: 'a', 'b';let  id, status, data: number   jsonData;console.log(id, status, number )
Stella981 Stella981
3年前
Docker安装Gitlab服务
1、安装建议:版本:GitLab分为社区版(CE)和企业版(EE)。配置:建议CPU2核,内存2G以上。2、使用Docker安装Gitlab2.1:拉取Gitlab镜像拉取中文版gitlab镜像,需要注意的是这个版本的镜像已经2年没有更新了。dockerpulltwang2218/gitl
Wesley13 Wesley13
3年前
Java日期时间API系列36
  十二时辰,古代劳动人民把一昼夜划分成十二个时段,每一个时段叫一个时辰。二十四小时和十二时辰对照表:时辰时间24时制子时深夜11:00凌晨01:0023:0001:00丑时上午01:00上午03:0001:0003:00寅时上午03:00上午0
Wesley13 Wesley13
3年前
00:Java简单了解
浅谈Java之概述Java是SUN(StanfordUniversityNetwork),斯坦福大学网络公司)1995年推出的一门高级编程语言。Java是一种面向Internet的编程语言。随着Java技术在web方面的不断成熟,已经成为Web应用程序的首选开发语言。Java是简单易学,完全面向对象,安全可靠,与平台无关的编程语言。
Wesley13 Wesley13
3年前
MySQL部分从库上面因为大量的临时表tmp_table造成慢查询
背景描述Time:20190124T00:08:14.70572408:00User@Host:@Id:Schema:sentrymetaLast_errno:0Killed:0Query_time:0.315758Lock_
为什么mysql不推荐使用雪花ID作为主键
作者:毛辰飞背景在mysql中设计表的时候,mysql官方推荐不要使用uuid或者不连续不重复的雪花id(long形且唯一),而是推荐连续自增的主键id,官方的推荐是auto_increment,那么为什么不建议采用uuid,使用uuid究
Python进阶者 Python进阶者
11个月前
Excel中这日期老是出来00:00:00,怎么用Pandas把这个去除
大家好,我是皮皮。一、前言前几天在Python白银交流群【上海新年人】问了一个Pandas数据筛选的问题。问题如下:这日期老是出来00:00:00,怎么把这个去除。二、实现过程后来【论草莓如何成为冻干莓】给了一个思路和代码如下:pd.toexcel之前把这