GitLab 发布安全修复版本 12.6.2、12.5.6 与 12.4.7

GitLab 发布了适用于社区版（CE）和企业版（EE）的版本安全修复版本 12.6.2、12.5.6 与 12.4.7。这些版本包含重要的安全修复程序，官方建议立即将所有的 GitLab 安装升级到这些版本之一。

修复的安全问题包括：

• CVE-2019-20144，访问验证不足会导致通过 API 未经授权地更新/删除小组成员。
• CVE-2019-20146，由于某些服务器在处理耗时的查询中缺少参数，某些 GraphQL 查询可能会使应用挂起。
• CVE-2019-20143，在某些情况下，未经身份验证的用户可以访问发行版的里程碑和问题。
• CVE-2019-20147，从项目成员资格中删除组后，组成员有可能通过保护标签 API（Protected Tags API）查看项目命名空间的更改。
• CVE-2019-20145，合并请求被锁定后，用户仍然能够提交草拟的审阅并发布。
• CVE-2019-20142，在 issue 和 commit 页面中添加注释时，恶意用户发送特殊消息可能导致 HTTP 500 代码。
• CVE-2019-20148，当未经身份验证的用户访问取消订阅链接时，可以在某些条件下公开私有项目名称。

• CVE-2020-5197，在特定条件下，用户可以通过通知设置查看私有项目的名称。

关于漏洞的详细信息将在大约 30 天后在问题跟踪器上公开，详情查看更新说明：

https://about.gitlab.com/blog/2020/01/02/security-release-gitlab-12-6-2-released