GitLab 发布安全修复版本 12.6.2、12.5.6 与 12.4.7

GitLab 发布了适用于社区版（CE）和企业版（EE）的版本安全修复版本 12.6.2、12.5.6 与 12.4.7。这些版本包含重要的安全修复程序，官方建议立即将所有的 GitLab 安装升级到这些版本之一。 修复的安全问题包括：CVE-2019-20144，访问验证不足会导致通过 API 未经授权地更新/删除小组成员。 CVE-2019-20146，由于某些服务器在处理耗时的查询中缺少参数，某些 GraphQL 查询可能会使应用挂起。 CVE-2019-20143，在某些情况下，未经身份验证的用户可以访问发行版的里程碑和问题。 CVE-2019-20147，从项目成员资格中删除组后，组成员有可能通过保护标签 API（Protected Tags API）查看项目命名空间的更改。 CVE-2019-20145，合并请求被锁定后，用户仍然能够提交草拟的审阅并发布。 CVE-2019-20142，在 issue 和 commit 页面中添加注释时，恶意用户发送特殊消息可能导致 HTTP 500 代码。 CVE-2019-20148，当未经身份验证的用户访问取消订阅链接时，可以在某些条件下公开私有项目名称。 CVE-2020-5197，在特定条件下，用户可以通过通知设置查看私有项目的名称。关于漏洞的详细信息将在大约 30 天后在问题跟踪器上公开，详情查看更新说明：http://about.gitlab.com/blog/2020/01/02/security-release-gitlab-12-6-2-released 原文标题：GitLab 发布安全修复版本 12.6.2、12.5.6 与 12.4.7 原文地址：http://www.oschina.net/news/112511/gitlab-12-6-2-n-12-5-6-n-12-4-7-released