GitLab安全發(fā)布：12.9.1、12.8.8 和 12.7.8

更新時間：2025-01-11 19:52:00

GitLab 安全發(fā)布了三個關(guān)鍵版本：12.9.1、12.8.8 和 12.7.8，這些版本針對社區(qū)版 (CE) 和企業(yè)版 (EE) 都包含重要的安全修復(fù)。強(qiáng)烈建議所有用戶盡快將安裝升級至其中之一，以確保系統(tǒng)安全。

以下是涉及的主要安全問題和修復(fù)：

移動問題讀取本地文件: 12.9.1中修復(fù)了可讀取任意文件的問題，影響了8.5及更高版本，現(xiàn)在已緩解并分配了CVE-2020-10977。

NPM包注冊表路徑遍歷: 11.7及以上版本存在漏洞，已修復(fù)，分配了CVE-2020-10953。

項(xiàng)目導(dǎo)入中的SSRF問題: 8.10及以上版本，現(xiàn)在解決并分配了CVE-2020-10956。

外部用戶創(chuàng)建個人代碼段: 12.6及以上版本，通過API未經(jīng)授權(quán)的訪問已修復(fù)，分配了CVE-2020-12275。

維護(hù)者修改其他觸發(fā)器: 9.0及以上版本，權(quán)限問題已解決，分配了CVE-2020-10981。

私有項(xiàng)目命名空間信息泄露: 8.11及以上版本，Web-UI和GraphQL API中的隱私問題修復(fù)，分配了CVE-2020-10978。

存儲庫歸檔中的DoS下載: 所有版本，資源消耗問題已緩解，分配了CVE-2020-10954。

阻止用戶拉取/推送Docker映像: 8.11及以上版本，通過API的漏洞已修復(fù)，分配了CVE-2020-10952。

未啟用功能時鏡像功能: 10.8及以上版本，不再允許未經(jīng)授權(quán)的鏡像操作，分配了CVE-2020-12277。

漏洞反饋頁面信息泄露: 10.8及以上版本，元數(shù)據(jù)和評論泄露已修復(fù)，分配了CVE-2020-10975。

管理員通知中的XSS漏洞: 9.5.9及以上版本，存儲的XSS問題已解決，分配了CVE-2020-12276。

上傳功能的安全風(fēng)險: 11.1及以上版本，文件夾內(nèi)容暴露已修復(fù)，分配了CVE-2020-10955。

CI指標(biāo)可見性: 11.10及以上版本，受限指標(biāo)可見性問題已修正，分配了CVE-2020-10979。

合并請求狀態(tài)泄露: 8.17及以上版本，通過MR構(gòu)件查詢的漏洞已解決，分配了CVE-2020-10976。

FogBugz集成中的盲SSRF: 8.0及以上版本，已修復(fù)，分配了CVE-2020-10980。

依賴項(xiàng)更新: 所有版本，Nokogiri和pcre2依賴項(xiàng)已升級，包含安全補(bǔ)丁。

新SSH密鑰添加問題: 只影響12.9.0，現(xiàn)已修復(fù)，升級到12.9.1或更高版本。

新功能增強(qiáng): 12.9.1版引入了強(qiáng)大的Log Explorer，用于日志管理，以及NuGet支持C#/.NET應(yīng)用，單級Epics功能，問題管理增強(qiáng)，WIP限制和自動停止環(huán)境設(shè)置。

審查應(yīng)用程序自動掃描: 12.8版本開始，自動掃描可訪問性問題，支持下載報告。

安全和合規(guī)性儀表板: ULTIMATE版本提供了實(shí)例級的安全漏洞視圖和合規(guī)性管理功能。

對于上述所有問題，我們強(qiáng)烈推薦用戶立即升級到最新版本，以確保系統(tǒng)的安全性。

国产精品高清免费在线视频-亚洲精品午夜福利一区-91成人精品国产免费男男-噼里啪啦日本一区二区