GitLab 为社区版和企业版发布了最新的 11.10.2、11.9.10 和 11.8.9 版本。这些版本包含重要的安全修复程序,官方表示强烈建议用户立即将所有 GitLab 安装升级到其中一个版本。
漏洞问题及受影响的版本如下:
-
当 issue 被移动到私有项目时,私有项目命名空间会被泄露给可以访问原始问题的未授权用户
- CVE-2019-11545
- 受影响版本:GitLab 社区/企业 11.9 及更高版本
-
非会员用户订阅受限制的的内部项目通知后,也会收到有关受限内容的电子邮件
- CVE-2019-11544
- 受影响版本:GitLab 社区/企业 8.10 及更高版本
-
项目的非特权成员能够通过注释端点中的授权问题发布有关机密问题的评论
- CVE-2019-11548
- 受影响版本:GitLab 社区/企业 5.4.0 到 11.8.8 版本
-
竞争条件漏洞:该漏洞可能允许用户多次批准合并请求,并可能达到合并所需的批准计数
- CVE-2019-11546
- 受影响版本:GitLab 社区/企业 8.6 及更高版本
-
新合并请求通知电子邮件中的分支名称未被转义,这可能会导致 XSS 问题
- CVE-2019-11547
- 受影响版本:GitLab 社区/企业 6.0.0 及更高版本
-
HTTP / GIT 凭据包含在连接错误的日志中,导致信息披露
- CVE-2019-11549
- 受影响版本:GitLab 社区/企业 9.0 及更高版本
建议所有用户尽快升级到 11.10.2、11.9.10 和 11.8.9 的其中一个版本,以修复上述安全漏洞。