修复的安全问题包括:
- CVE-2019-20144,访问验证不足会导致通过 API 未经授权地更新/删除小组成员。
- CVE-2019-20146,由于某些服务器在处理耗时的查询中缺少参数,某些 GraphQL 查询可能会使应用挂起。
- CVE-2019-20143,在某些情况下,未经身份验证的用户可以访问发行版的里程碑和问题。
- CVE-2019-20147,从项目成员资格中删除组后,组成员有可能通过保护标签 API(Protected Tags API)查看项目命名空间的更改。
- CVE-2019-20145,合并请求被锁定后,用户仍然能够提交草拟的审阅并发布。
- CVE-2019-20142,在 issue 和 commit 页面中添加注释时,恶意用户发送特殊消息可能导致 HTTP 500 代码。
- CVE-2019-20148,当未经身份验证的用户访问取消订阅链接时,可以在某些条件下公开私有项目名称。
- CVE-2020-5197,在特定条件下,用户可以通过通知设置查看私有项目的名称。
关于漏洞的详细信息将在大约 30 天后在问题跟踪器上公开,详情查看更新说明:https://about.gitlab.com/blog/2020/01/02/security-release-gitlab-12-6-2-released
原文标题:GitLab 发布安全修复版本 12.6.2、12.5.6 与 12.4.7
原文地址:https://www.oschina.net/news/112511/gitlab-12-6-2-n-12-5-6-n-12-4-7-released
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8261;邮箱:jenny@youkuaiyun.com。本站原创内容未经允许不得转载,或转载时需注明出处::优快云资讯门户 » GitLab 发布安全修复版本 12.6.2、12.5.6 与 12.4.7