Aviso de seguridad de Debian
DSA-4145-1 gitlab -- actualización de seguridad
- Fecha del informe:
- 18 de mar de 2018
- Paquetes afectados:
- gitlab
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2017-0915, CVE-2017-0916, CVE-2017-0917, CVE-2017-0918, CVE-2017-0925, CVE-2017-0926, CVE-2018-3710.
- Información adicional:
-
Se han descubierto varias vulnerabilidades en Gitlab, una plataforma para desarrollo colaborativo de código:
- CVE-2017-0915
/ CVE-2018-3710
Ejecución de código arbitrario en el componente de importación de proyectos.
- CVE-2017-0916
Inyección de órdenes a través de Webhooks.
- CVE-2017-0917
Cross-site scripting en salida de trabajo de CI.
- CVE-2017-0918
Insuficientes restricciones de acceso del runner de CI a la caché del proyecto.
- CVE-2017-0925
Revelación de información en API de servicios.
- CVE-2017-0926
Se podrían sortear restricciones para proveedores de OAuth inabilitados.
Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 8.13.11+dfsg1-8+deb9u1.
Le recomendamos que actualice los paquetes de gitlab.
Para información detallada sobre el estado de seguridad de gitlab consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/gitlab
- CVE-2017-0915
/ CVE-2018-3710