Рекомендация Debian по безопасности

DSA-4206-1 gitlab -- обновление безопасности

Дата сообщения:
21.05.2018
Затронутые пакеты:
gitlab
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2017-0920, CVE-2018-8971.
Более подробная информация:

В Gitlab, платформе для совместной работы над кодом, было обнаружено несколько уязвимостей:

  • CVE-2017-0920

    Было обнаружено, что отсутствие проверки запросов слияния позволяет пользователям видеть имена закрытых проектов, что приводит к раскрытию информации.

  • CVE-2018-8971

    Было обнаружено, что интеграция Auth0 реализована неправильно.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 8.13.11+dfsg1-8+deb9u2. Для исправления CVE-2018-8971 требуется обновить пакет ruby-omniauth-auth0 до версии 2.0.0-0+deb9u1.

Рекомендуется обновить пакеты gitlab.

С подробным статусом поддержки безопасности gitlab можно ознакомиться на соответствующей странице отслеживания безопасности по адресу https://security-tracker.debian.org/tracker/gitlab