Информация по безопасности / 2018 / Информация о безопасности -- DSA-4145-1 gitlab

Рекомендация Debian по безопасности

DSA-4145-1 gitlab -- обновление безопасности

Дата сообщения:

18.03.2018

Затронутые пакеты:

gitlab

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2017-0915, CVE-2017-0916, CVE-2017-0917, CVE-2017-0918, CVE-2017-0925, CVE-2017-0926, CVE-2018-3710.

Более подробная информация:

В Gitlab, программной платформе для совместной работы над кодом, было обнаружено несколько уязвимостей:

• CVE-2017-0915 / CVE-2018-3710

  Выполнение произвольного кода при импорте проектов.

• CVE-2017-0916

  Инъекция команд через Webhook.

• CVE-2017-0917

  Межсайтовый скриптинг в выводе информации о задачах CI.

• CVE-2017-0918

  Недостаточное ограничение исполнения CI при обращении к кэшу проекта.

• CVE-2017-0925

  Раскрытие информации в API Services.

• CVE-2017-0926

  Возможность обхода ограничений для отключённых поставщиков OAuth.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 8.13.11+dfsg1-8+deb9u1.

Рекомендуется обновить пакеты gitlab.

С подробным статусом поддержки безопасности gitlab можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/gitlab