Aviso de seguridad de Debian

DSA-4206-1 gitlab -- actualización de seguridad

Fecha del informe:
21 de may de 2018
Paquetes afectados:
gitlab
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2017-0920, CVE-2018-8971.
Información adicional:

Se han descubierto varias vulnerabilidades en Gitlab, una plataforma para desarrollo colaborativo de código:

  • CVE-2017-0920

    Se descubrió que la falta de validación de las solicitudes de fusión («merge») permitía que los usuarios vieran los nombres de proyectos privados, dando lugar a revelación de información.

  • CVE-2018-8971

    Se descubrió que la integración de Auth0 no estaba implementada correctamente.

Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 8.13.11+dfsg1-8+deb9u2. Para la corrección de CVE-2018-8971, además, es necesario actualizar ruby-omniauth-auth0 a la versión 2.0.0-0+deb9u1.

Le recomendamos que actualice los paquetes de gitlab.

Para información detallada sobre el estado de seguridad de gitlab consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/gitlab