Säkerhetsinformation / 2018 / Säkerhetsinformation -- DSA-4145-1 gitlab

Säkerhetsbulletin från Debian

DSA-4145-1 gitlab -- säkerhetsuppdatering

Rapporterat den:

2018-03-18

Berörda paket:

gitlab

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2017-0915, CVE-2017-0916, CVE-2017-0917, CVE-2017-0918, CVE-2017-0925, CVE-2017-0926, CVE-2018-3710.

Ytterligare information:

Flera sårbarheter har upptäckts i Gitlab, en mjukvaruplattform för att samarbeta på kod:

• CVE-2017-0915 / CVE-2018-3710

  Godtycklig kodexekvering i projektimport.

• CVE-2017-0916

  Kommandoinjicering via Webhooks.

• CVE-2017-0917

  Sajtöverskridande skriptning i CI jobbutdata.

• CVE-2017-0918

  Otillräckliga begränsningar på CI-körare för projektcacheåtkomst.

• CVE-2017-0925

  Avslöjande av information i Services APIet.

• CVE-2017-0926

  Begränsningar för inaktiverade OAuth-tillhandahållare kunde förbigås.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 8.13.11+dfsg1-8+deb9u1.

Vi rekommenderar att ni uppgraderar era gitlab-paket.

För detaljerad säkerhetsstatus om gitlab vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/gitlab