نسخه‌های ۱۳.۱۰.۳، ۱۳.۹.۶ و ۱۳.۸.۸ برای GitLab Community Edition یا CE و Enterprise Edition یا EE منتشر شده‌اند. این نسخه‌ها حاوی اصلاحیه‌های امنیتی مهمی هستند و به تمام افرادی که از GitLab استفاده می‌کنند، پیشنهاد می‌شود که این برنامه را بدون وقفه به یکی از این نسخه‌ها ارتقا دهند.

GitLab برای چندین آسیب‌پذیری امنیتی Patchهایی را منتشر کرده است. دو نوع انتشار امنیتی وجود دارد: انتشار امنیتی ماهانه و با برنامه‌ریزی که یک هفته پس از انتشار ویژگی (که در روز بیست‌ودوم هر ماه پیاده‌سازی می‌گردد) منتشر می‌شود و انتشار امنیتی Ad-Hoc برای آسیب‌پذیری‌های حیاتی.

GitLab متعهد است که تمام جنبه‌هایی از GitLab که در دسترس مشتریان قرار دارند یا میزبان داده‌های مشتریان هستند، دارای بالاترین استانداردهای امنیتی باشند. برای حفظ بهترین وضعیت امنیتی ممکن، پیشنهاد می‌شود که تمام مشتریان نرم‌افزار خود را به آخرین نسخه‌ی امنیتی ارتقا دهند.

جدول اصلاحات

اجرای کد از راه دور در هنگام آپلود کردن فایل‌های تصویری که به‌طور مخصوص ایجاد شده‌اند

مشکلی در GitLab CE/EE کشف شده است که روی تمام نسخه‌های از ۱۱.۹ به بعد تأثیرگذار است.  GitLab با عدم اعتبارسنجی درست فایلهای تصویری و ارسال آنها به یک تجزیه‌کننده فایل، امکان اجرای دستور از راه دور را فراهم می‌کرد. این یک مشکل حیاتی محسوب می‌شود (AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H, 9.9). اکنون این مشکل رفع شده است و کد CVE-2021-22205 به آن تعلق گرفته است.

اصلاح آسیب‌پذیری

قویاً پیشنهاد می‌شود که تمام افرادی که نسخه‌های تحت تأثیر را اجرا می‌کنند در سریع‌ترین زمان ممکن برنامه‌ی خود را به آخرین نسخه ارتقا دهند.

Update Rexml

Rexml ruby gem به نسخه‌ی ۳.۲.۵ ارتقا داده شد تا CVE-2021-28965 اصلاح گردد.

نسخه‌های تحت تأثیر آسیب‌پذیری

نسخه‌ی ۷.۱۲ و جدیدتر.

منبع:

 https://about.gitlab.com/releases/2021/04/14/security-release-gitlab-13-10-3-released