Sikkerhedsoplysninger / 2018 / Sikkerhedsoplysninger -- DSA-4145-1 gitlab

Debians sikkerhedsbulletin

DSA-4145-1 gitlab -- sikkerhedsopdatering

Rapporteret den:

18. mar 2018

Berørte pakker:

gitlab

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2017-0915, CVE-2017-0916, CVE-2017-0917, CVE-2017-0918, CVE-2017-0925, CVE-2017-0926, CVE-2018-3710.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Gitlab, en softwareplatform til kodesamarbejde:

• CVE-2017-0915 / CVE-2018-3710

  Udførelse af vilkårlig kode i projektimport.

• CVE-2017-0916

  Kommandoindsprøjtning gennem Webhooks.

• CVE-2017-0917

  Udførelse af skripter på tværs af websteder i CI-jobuddata.

• CVE-2017-0918

  Utilstrækkelig begrænsning på CI-runner for projektcacheadgang.

• CVE-2017-0925

  Informationsafsløring i Services-API'et.

• CVE-2017-0926

  Begrænsninger for deaktiveret OAuth-providers kunne omgås.

I den stabile distribution (stretch), er disse problemer rettet i version 8.13.11+dfsg1-8+deb9u1.

Vi anbefaler at du opgraderer dine gitlab-pakker.

For detaljeret sikkerhedsstatus vedrørende gitlab, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/gitlab