GitLab 10.1.2，10.0.6 和 9.5.10 发布，安全程序修复

Linuxeden 开源社区 --

GitLab 社区版（CE）和企业版（EE）发布了 10.1.2,10.0.6 和 9.5.10 版本。

这些版本包含几个安全修复程序，包括随 GitLab Omnibus 软件包一起提供的几个第三方应用程序的更新，服务器端请求伪造（SSRF）旁路修复程序，重新引入从 GitLab 10.1 中省略的 GitLab Geo 安全修复程序发行版和一些安全头添加到 GitLab API。

卷曲中的安全漏洞

curl 包含在 GitLab Omnibus 软件包中的版本已经更新，可以修补 多个安全漏洞 。＃2905

通过项目导入导致 SSRF 漏洞

EDIO 通过 HackerOne 发现 GitLab SSRF 保护 项目使用十进制，八进制或其他格式的 IP 地址。这可能会允许恶意用户将项目导入发送请求到在 GitLab 实例的本地界面上运行的服务。＃33310

API 响应中缺少 X-Content-Type-Options 标头

在由 Recurity-Labs 进行的外部安全审计期间，发现 GitLab API 没有包含 HTTP X-Content-Type-Options 头。这个标头的缺失可能会使攻击者更容易利用其他未发现的漏洞利用 GitLab API。＃36099

完整更新内容请查看 发布主页 。

转自 http://ift.tt/2zvDrKP

The post GitLab 10.1.2，10.0.6 和 9.5.10 发布，安全程序修复 appeared first on Linuxeden开源社区.

http://ift.tt/2yoFY8t