GitLab 发布安全补丁版本 13.2.3、13.1.6 和 13.0.12-低调大师

GitLab 发布安全补丁版本 13.2.3、13.1.6 和 13.0.12

2020-08-07 832

GitLab 发布了 13.2.3、13.1.6 和 13.0.12，这是几个安全补丁版本。

安全问题包括：

CVE-2020-10977：在项目之间移动 issue 时，GitLab EE/CE 8.5-12.9 容易受到路径遍历的影响。
CVE-2020-13280：与发送给已删除组成员的邀请电子邮件有关的过多错误日志记录可能会导致资源较少的计算机上的内存耗尽。影响所有此前的 GitLab 版本。
CVE-2020-13281：在解压缩数据之前，项目导入功能未执行大小检查，可能导致拒绝服务。影响 GitLab 8.9 及更高版本。
CVE-2020-13286：通过 URL 导入存储库时，http.<url>.proxy可以更改 git 设置并导致 SSRF。影响 GitLab 12.7 及更高版本。
CVE-2020-13285：对于某些浏览器，issue reference 的工具提示可能会导致鼠标悬停处发生存储型 XSS。影响 GitLab EE 12.9 及更高版本。
CVE-2020-13283：在特定条件下在 issue 列表上查看时，里程碑标题字段可能会导致存储型 XSS。影响 GitLab 10.8 及更高版本。
CVE-2020-13282：转移子组后，父组的成员会无提示地保持其访问级别。影响所有版本。
CVE-2020-13292：可以绕过 OAuth 授权代码流所需的电子邮件验证，可能会影响使用 GitLab 作为身份提供者的第三方应用程序。影响所有版本。
CVE-2020-13293：使用具有十六进制名称的分支可能会覆盖现有哈希。影响所有版本。
CVE-2020-13294：用户撤消对应用的访问权时，访问权授予未被撤消。影响 GitLab 7.7 及更高版本。
CVE-2020-13291：项目共享可能会暂时允许过于宽松的访问。影响 GitLab 13.2 和更高版本。

详情查看发布公告：https://about.gitlab.com/releases/2020/08/05/gitlab-13-2-3-released

微信关注我们

原文链接：https://www.oschina.net/news/117769/gitlab-security-update

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

PHP 7.4.9 发布

PHP 7.4.9版本现已发布，具体更新内容如下： Apache：修复了错误＃79030（升级 apache2handler 的 php_apache_sapi_get_request_time 以返回 usec）。 COM：修复了错误＃63208（BSTR 到 PHP字符串转换不是 binary safe）。修复了错误＃63527（DCOM 无法使用用户名、密码参数。）。 Core ：修复了错误＃79740（不能静态调用 serialize() 和 unserialize() methods）。修复了错误＃79783（php_str_replace_common 中的段错误）。修复了错误＃79778（如果转储带有未解决的静态变量的闭包，则断言失败）。修复了错误＃79779（通过引用分配字符串偏移量的属性时断言失败）。修复了错误＃79792（如果销毁了空数组，则不会删除 HT 迭代器）。修复了错误＃78598（在 undef index RW error segfaults 期间更改数组）。修复了错误＃79784（如果在数组写获取期间的 undef var...

2020-08-08

717

Gradle 6.6 RC6 发布了。Gradle是一个基于Apache Ant和Apache Maven概念的项目自动化构建工具，支持依赖管理和多项目，类似Maven，但比之简单轻便。它使用一种基于Groovy的特定领域语言来声明项目设置，而不是传统的XML。此版本最大亮点是引入了一个实验性选项：配置缓存（Configuration caching），它是一个主要的性能优化特性，可以使 Gradle 跳过构建的配置阶段，并尽快开始执行任务。配置缓存在运行任何任务之前，Gradle 需要运行配置阶段。当前，这是在每次构建调用时完成的，并且会产生大量的开销，尤其是在大型项目中。配置缓存通过缓存配置阶段的结果并将其重新用于后续构建，从而可以显著提高构建性能。使用配置缓存，Gradle 可以在不影响构建配置的任何内容发生变化的情况下完全跳过配置阶段，如下所示：此外，启用配置缓存后，Gradle 能够优化任务执行，并默认情况下并行执行更多任务。目前该特性处于高度试验阶段，默认情况下不启用或建议用于生产环境。可以通过--configuration-cache在命令行上提供参数或将其添...

2020-08-08

662

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。