GitLab 13.9.2、13.8.5 和 13.7.8 发布，修复众多安全漏洞-低调大师

GitLab 13.9.2、13.8.5 和 13.7.8 发布，修复众多安全漏洞

2021-03-05 648

Gitlab 发布了适用于 GitLab CE 和 EE 的 13.9.2、13.8.5 和 13.7.8 版本。这些版本包含重要的安全修复程序，Gitlab 强烈建议立即将所有 GitLab 安装升级到上述这些版本。

通过 Workhorse 的 JWT 令牌泄漏

通过 GitLab Workhorse 进行的路径遍历漏洞可能导致所有版本的 GitLab 都面临 JWT令牌泄漏。Gitlab 已经请求了 CVE ID。

将 XSS 存储在 Wiki 页面中

GitLab 13.8 及更高版本的 Wiki 中输入清理不足，允许攻击者通过对 Wiki 的特制提交来利用存储的跨站点脚本漏洞。现在，该漏洞已在最新版本中得到缓解，并分配为 CVE-2021-22185 ID。

组维护者可以使用组 CI/CD 变量 API

GitLab CE/EE 9.4 及更高版本中的授权问题使组维护者可以修改组 CI/CD 变量，该变量应仅限于组所有者。现在，该漏洞已在最新版本中得到缓解，并分配为 CVE-2021-22186 ID。

GitLab 会话密钥的存储不安全

在所有版本的 GitLab 中，编组的会话密钥都存储在 Redis 中。Gitlab 已经请求了 CVE ID，并将在分配后对其进行更新。

更新 thrift gem

thrift gem 已升级到0.14.0，以减轻安全隐患。受影响的版本为 11.8 及更高版本。

更新 swagger-ui-dist 依赖性

为了缓解安全问题，对 swagger-ui-dist 的依赖性已升级到3.43.0。受影响的版本为 13.7 及更高版本。

微信关注我们

原文链接：https://www.oschina.net/news/132031/security-release-gitlab-13-9-2-released

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

GoLand 2020.3.3 发布

GoLand 2020.3.3 已发布，更新内容主要是修复 bug： GO-10643,GO-10639— 无论是使用go get还是go build，GOPATH 项目都可以在 Go 1.16 中正常运行 GO-10492—修复导致 IDE 挂起或运行失败的问题以及增加了多项新特性： GO-10324—Go 1.16：优化测试功能对os.Exit(0) 方法的调用 IDEA-247100— 将 IDEA 平台的 SDK 与 asdf-java 安装的 SDK 同步 DBE-12470— 在存储程序之外支持 MariaDB 复合语句 DBE-12473—为 Run Configurations 提供更好的高亮显示发布公告| 下载地址

2021-03-05

720

Qt 5.15.3 LTS现已发布，这是 Qt 5.15 LTS 系列的第一个商业专用补丁版本。作为一个补丁版本，Qt 5.15.3 并没有增加任何新的功能，但提供了错误修复和一些其他改进。与 Qt 5.15.2 相比，新的 Qt 5.15.3 包含了近 250 个错误修复。所有适用的错误修复也是即将在 4 月发布的Qt 6.1版本的一部分。官方表示，其调整了修改文件的流程，用户可以从Qt Account 门户中的发行说明中查看 Qt 5.15.3 中所有重要更改和错误修复的概述，而不是为每个模块单独记录更改日志。 Qt 5.15.3 在在线安装程序（维护工具）中对所有商业许可证持有者自动可见。Qt 5.15.3 的源码包可以通过在线安装程序以及 Qt 帐户获得。Qt 5.15.3 的离线安装包可从 Qt 帐户门户获得。用户可以通过Codereview系统来访问源码库；想要访问 LTS存储库，则需要用一个具有有效商业许可的 Qt 账户进行登录。有关更多详细信息，可查看有关访问商业 LTS 存储库的说明。 Qt for Device Creation images 也可用于 Qt 5...

2021-03-05

866

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。