GitLabは、12.6.2,12.5.6および12.4.7のコミュニティ版(CE)およびEnterprise Edition(EE)に適用されるセキュリティ修正のリリースバージョンをリリースしました。これらのバージョンは、公式には、すべてのGitLabはすぐにこれらのバージョンのいずれかにアップグレードをインストールする提案し、重要なセキュリティ修正が含まれています。
セキュリティ修正が含まれます:
- CVE-2019から20144、アクセス認証の欠如は、API経由で不正に更新/削除、グループメンバーにつながることができます。
- CVE-2019から20146、クエリ内の特定のサーバ時間のかかるプロセスパラメータが不足しているためには、クエリは、いくつかのGraphQLアプリケーションが保留中の可能性があります。
- CVE-2019から20143には、いくつかのケースでは、認証されていないユーザーがアクセスし、問題のマイルストーンリリースすることができます。
- CVE-2019から20147は、グループのメンバーシップから項目を削除した後、グループのメンバーは、プロジェクトの変更の名前空間を表示するラベルAPI(保護されたタグAPI)を保護することによって可能性があります。
- CVE-2019から20145合併要求がロックされた後、ユーザーはまだレビューと出版の草案を提出することができるようになります。
- 問題とは、追加のコメントページをコミットするときCVE-2019から20142は、悪意のあるユーザーが特別なメッセージHTTP 500原因コードを送信することができます。
- CVE-2019から20148、認証されていないユーザーが解除リンクにアクセスするには、一定の条件の下で民間のプロジェクト名を開くことができます。
-
CVE-2020-5197は、一定の条件の下で、利用者は、民間の通知が設定したプロジェクトの名前を見ることができます。
脆弱性の詳細については、約30日後となりますイシュートラッカー更新に関するパブリックビューの詳細について:
https://about.gitlab.com/blog/2020/01/02/security-release-gitlab-12-6-2-released