Linuxeden开源社区GitLab 为社区版和企业版发布了 11.2.3, 11.1.6 和 11.0.6 安全修复版本。这些版本包含许多重要的安全修复程序,强烈建议立即将所有 GitLab 升级到其中一个版本。
关于漏洞的详细信息将在大约30天内在问题跟踪器上公布。有关此版本的更多信息,请继续阅读。
管道工具提示中的持久 XSS
- CI/CD 管道内部作业的工具提示未经过适当的清理,从而导致出现持久的 XSS。该问题现已在最新版本中得到解决,并将很快为其分配 CVE。
- 受影响版本:GitLab CE/EE 10.7 及更高版本
GitLab.com GCP 端点暴露
- 谷歌云平台(GCP)中的 Zeroconf 端点可以通过迁移后的 webhooks 访问。该问题现已在最新版本中得到解决。
- 受影响版本:影响 GitLab.com 和部署到 GCP 的实例。
合并请求变更视图中的持久 XSS
- 合并请求变更视图未正确清理其某些位置导致出现持久 XSS,目前该问题已在最新版本中得到解决,并很快会为它分配 CVE。
- 受影响版本:GitLab CE/EE 11.1 和 11.2。
更多内容请查看发布说明
查看 update page 以了解升级说明。
转自 https://www.oschina.net/news/99438/gitlab-11-2-3-released