Säkerhetsbulletin från Debian
DSA-4206-1 gitlab -- säkerhetsuppdatering
- Rapporterat den:
- 2018-05-21
- Berörda paket:
- gitlab
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2017-0920, CVE-2018-8971.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i Gitlab, en mjukvaruplatform för att samarbeta med kod:
- CVE-2017-0920
Man har upptäckt att saknad validering av sammanslagningsbegäran tillåter användare att se namn på privata projekt, vilket resulterar i avsjöjande av information.
- CVE-2018-8971
Man har upptäckt att Auth0-integrationen hade implementerats felaktigt.
För den stabila utgåvan (Stretch) har dessa problem rättats i version 8.13.11+dfsg1-8+deb9u2. Rättningen för CVE-2018-8971 kräver även att ruby-omniauth-auth0 uppgraderas till version 2.0.0-0+deb9u1.
Vi rekommenderar att ni uppgraderar era gitlab-paket.
För detaljerad säkerhetsstatus om gitlab vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/gitlab
- CVE-2017-0920