Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Esta versão do GitHub Enterprise foi descontinuada em 2021-03-02. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, melhorar a segurança e novos recursos, upgrade to the latest version of GitHub Enterprise. Para ajuda com a atualização, contact GitHub Enterprise support.

2.20 Release notes

2.21

Enterprise Server 2.20.24

Download

March 01, 2021

  • HIGH: An improper access control vulnerability was identified in GitHub Enterprise Server that allowed authenticated users of the instance to gain write access to unauthorized repositories via specifically crafted pull requests and REST API requests. An attacker would need to be able to fork the targeted repository, a setting that is disabled by default for organization owned private repositories. Branch protections such as required pull request reviews or status checks would prevent unauthorized commits from being merged without further review or validation. This vulnerability has been assigned CVE-2021-22861. This issue was reported via the GitHub Bug Bounty Program.

  • HIGH: An improper access control vulnerability was identified in the GitHub Enterprise Server GraphQL API that allowed authenticated users of the instance to modify the maintainer collaboration permission of a pull request without proper authorization. By exploiting this vulnerability, an attacker would be able to gain access to head branches of pull requests opened on repositories of which they are a maintainer. Forking is disabled by default for organization owned private repositories and would prevent this vulnerability. Additionally, branch protections such as required pull request reviews or status checks would prevent unauthorized commits from being merged without further review or validation. This vulnerability has been assigned CVE-2021-22863. This issue was reported via the GitHub Bug Bounty Program.

  • HIGH: A remote code execution vulnerability was identified in GitHub Enterprise Server that could be exploited when building a GitHub Pages site. User-controlled configuration of the underlying parsers used by GitHub Pages were not sufficiently restricted and made it possible to execute commands on the GitHub Enterprise Server instance. To exploit this vulnerability, an attacker would need permission to create and build a GitHub Pages site on the GitHub Enterprise Server instance. This vulnerability has been assigned CVE-2020-10519 and was reported via the GitHub Bug Bounty Program.

  • LOW: A specially crafted request to the SVN bridge could trigger a long wait before failure resulting in Denial of Service (DoS).

  • Packages have been updated to the latest security versions.

  • An informational message was unintentionally logged as an error during GitHub Enterprise Backup Utilities snapshots, which resulted in unnecessary emails being sent when backups were scheduled by cron jobs that listen for output to stderr.

  • While restoring a large backup, exception logging related to Redis memory exhaustion could cause the restore to fail due to a full disk.

  • When editing a wiki page a user could experience a 500 error when clicking the Save button.

  • An S/MIME signed commit using a certificate with multiple names in the subject alternative name would incorrectly show as "Unverified" in the commit badge.

  • Suspended user was sent emails when added to a team.

  • When uploading a new license file with a different number of seats from the previous license file, the seat difference was not correctly represented in the enterprise account Settings -> License page.

  • The "Prevent repository admins from changing anonymous Git read access" checkbox available in the enterprise account settings could not be successfully enabled or disabled.

  • During a leap year, the user was getting a 404 response when trying to view Contribution activity on a Monday.

  • On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.

  • Custom firewall rules are not maintained during an upgrade.

  • Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.

  • Issues cannot be closed if they contain a permalink to a blob in the same repository where the file path is longer than 255 characters.

  • When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.

  • Security alerts are not reported when pushing to a repository on the command line.

Enterprise Server 2.20.23

Download

December 16, 2020

  • BAIXO: Alto uso da CPU pode ser acionado por uma solicitação especialmente elaborada para a ponte SVN, o que resulta em em Negação de Serviço (DoS).

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

Enterprise Server 2.20.22

Download

December 02, 2020

  • O serviço de autorização foi detectado como não saudável devido a uma condição de raça no bootstrap que gerou a reinicialização do serviço.

  • Um comportamento subjacente fez com que um serviço se tornasse indisponível durante o processo de atualização do hotpatch

  • Um subconjunto de registros de encaminhamento de certificados SSL não foi aplicado corretamente.

  • Notificações de e-mail enviadas aos usuários suspensos quando foram removidos de uma equipe ou de uma organização.

  • A forma como os certificados SSH foram aplicados entre organizações e empresas foi inconsistente.

  • Quando uma conta teve o limite de taxa limitado devido ao uso de senhas incorretas, ela pôde ser bloqueada por até 24 horas.

  • A sincronização de pull request em repositórios com muitas referências pode fazer com que as filas de trabalhador sejam atrasadas.

  • Ao efetuar o login após tentar visitar uma página específica, as pessoas eram enviadas para a página inicial em vez de serem enviadas para o seu destino pretendido.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

Enterprise Server 2.20.21

Download

November 16, 2020

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • Os logs de babeld não tinham um separador entre segundos e microssegundos.

  • Quando a política de "alteração de visibilidade do repositório" na conta corporativa foi definida como "Habilitada", os proprietários da organização não conseguiram alterar a visibilidade dos repositórios na organização.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

Enterprise Server 2.20.20

Download

November 02, 2020

  • MÉDIO: Alto uso de CPU pode ser acionado por uma solicitação especialmente elaborada para a ponte SVN resultando em Negação de Serviço (DoS).

  • BAIXO: A validação incorreta de token gerou uma entropia reduzida para os tokens de correspondência durante a autenticação. A análise mostra que, na prática, não há risco significativo de segurança aqui.

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • Os usuários suspensos foram incluídos na lista de usuários sugeridos, ocultando potencialmente usuários não suspensos.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

Enterprise Server 2.20.19

Download

October 19, 2020

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • A mensagem da conta corporativa "Confirmar requisito de dois fatores" estava incorreta.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

Enterprise Server 2.20.18

Download

October 08, 2020

  • Um usuário cujo nome de usuário de diretório de LDAP padronizado em um login da conta GHES existente pode efetuar a autenticação na conta existente.

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • O menu suspenso formato do ID do nome no Console de Gerenciamento seria redefinido para "não especificado" depois de configurá-lo como "persistente".

  • Salvar as configurações por meio do console de gerenciamento acrescentaria uma nova linha aos arquivos certificado TLS/SSL e chave que acionou o recarregamento desnecessário de alguns serviços.

  • Os logs do sistema para o gráfico de dependência não estavam girando, permitindo um crescimento no armazenamento ilimitado.

  • Os links para as Consultorias de Segurança GitHub usariam uma URL com o nome de host da instância do GitHub Enterprise Server em vez do GitHub.com, direcionando o usuário para uma URL inexistente.

  • Ao importar um repositório com "ghe-migrator" poderá gerar uma exceção inesperada quando os dados inconsistentes estão presentes.

  • Ao usar "ghe-migrator" para importar solicitações de revisão de PR, os registros associados com usuários excluídos resultariam em registros estranhos do banco de dados.

  • Ao importar usuários com "ghe-migrator", ocorreria o erro de "E-mail é inválido" se o endereço de e-mail gerado pelo sistema tivesse mais de 100 caracteres.

  • Registrar a atividade do webhook poderia usar uma grande quantidade de espaço no disco e fazer com que o disco raiz ficasse cheio.

  • O suporte é adicionado ao tipo de instância do AWS EC2 m5.16xlarge.

  • Remova o requisito de impressões digitais SSH nos arquivos "ghe-migrator", pois ele sempre pode ser computado.

  • Os manifestos do aplicativo GitHub agora incluem o campo "request_oauth_on_install".

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

Enterprise Server 2.20.17

Download

September 22, 2020

  • MÉDIO: ImageMagick foi atualizado para o endereço DSA-4715-1.

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

Enterprise Server 2.20.16

Download

September 07, 2020

  • Uma verificação de saúde do serviço causou o crescimento da sessão, o que gerou um esgotamento do sistema de arquivos.

  • A atualização que usa um hotpatch pode falhar com um erro: 'libdbi1' was not found

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

Enterprise Server 2.20.15

Download

August 25, 2020

  • CRITICAL: A remote code execution vulnerability was identified in GitHub Pages that could be exploited when building a GitHub Pages site. User-controlled configuration of the underlying parsers used by GitHub Pages were not sufficiently restricted and made it possible to execute commands on the GitHub Enterprise Server instance. To exploit this vulnerability, an attacker would need permission to create and build a GitHub Pages site on the GitHub Enterprise Server instance. This vulnerability affected all versions of GitHub Enterprise Server. The underlying issues contributing to this vulnerability were identified both internally and through the GitHub Security Bug Bounty program. We have issued CVE-2020-10518.

  • MEDIUM: An improper access control vulnerability was identified that allowed authenticated users of the instance to determine the names of unauthorized private repositories given their numerical IDs. This vulnerability did not allow unauthorized access to any repository content besides the name. This vulnerability affected all versions of GitHub Enterprise Server prior to 2.22 and has been assigned CVE-2020-10517. The vulnerability was reported via the GitHub Bug Bounty program.

  • Packages have been updated to the latest security versions.

  • A message was not logged when the ghe-config-apply process had finished running ghe-es-auto-expand.

  • Excessive logging to the syslog file could occur on high-availability replicas if the primary appliance is unavailable.

  • Database re-seeding on a replica could fail with an error: Got packet bigger than 'max_allowed_packet'

  • In some cases duplicate user data could cause a 500 error while running the ghe-license-usage script.

  • In a high availability or geo-replication configuration, replica instances would exit maintenance mode when ghe-config-apply ran.

  • We've added support for the R5a and R5n AWS instance types.

  • Removed the license seat count information on the administrative SSH MOTD due to a performance issue impacting GitHub Enterprise Server clusters.

  • On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.

  • Custom firewall rules are not maintained during an upgrade.

  • Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.

  • Issues cannot be closed if they contain a permalink to a blob in the same repository where the file path is longer than 255 characters.

  • When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.

  • Security alerts are not reported when pushing to a repository on the command line.

Enterprise Server 2.20.14

Download

August 11, 2020

  • Resolveu um problema que poderia gerar alto uso da CPU ao gerar modelos de configuração do sistema.

  • Alterações recentes nas alocações de memória podem gerar uma degradação no desempenho do sistema

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

Enterprise Server 2.20.13

Download

August 10, 2020

  • CRÍTICO: Uma vulnerabilidade de execução de código remoto foi identificada no GitHub Pages e permite que um invasor execute comandos como parte de criação de um site do GitHub Pages. Esse problema deve-se a uma dependência desatualizada e vulnerável usada no processo de criação de páginas. Para explorar essa vulnerabilidade, um invasor precisará de permissão para criar e construir um site do GitHub Pages na instância do GitHub Enterprise Server. Esta vulnerabilidade afetou todas as versões do GitHub Enterprise Server. Para mitigar essa vulnerabilidade, a Kramdown foi atualizada para abordar o CVE-2020-14001.

  • ALTO: Um invasor pode injetar um argumento malicioso em um subcomando do Git quando executado no GitHub Enterprise Server. Isso pode permitir que o invasor sobrescreva arquivos arbitrários com conteúdo controlado parcialmente pelo usuário e potencialmente execute comandos arbitrários na instância do GitHub Enterprise Server. Para explorar essa vulnerabilidade, um invasor precisaria de permissão para acessar repositórios dentro da instância do GitHub Enterprise Server. No entanto, devido a outras proteções em vigor, não conseguimos identificar uma forma de explorar ativamente esta vulnerabilidade. Esta vulnerabilidade foi relatada por meio do programa GitHub Security Bug Bounty

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • Um erro de configuração do Cônsul impediu que algumas tarefas de segundo plano fossem processadas em instâncias autônomas.

  • O cálculo de alocação de memória de serviço poderia determinar uma alocação de memória incorreta ou ilimitada para um serviço resultando em desempenho de sistema pobre.

  • A plataforma de virtualização para sistemas oVirt KVM não foi detectada corretamente, gerando problemas durante as atualizações.

  • A mensagem de erro para autenticação inválida com uma senha via linha de comando Git não preencheu a URL vinculada à adição do token apropriado ou chave SSH.

  • O GitHub Connect estava usando um ponto obsoleto da API do GitHub.com.

  • Os problemas não puderam ser classificados por Atualizações recentes nos repositórios migrados para uma nova instância.

  • A página 404 continha links de contato e links status do GitHub.com na nota de rodapé.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

Enterprise Server 2.20.12

Download

July 20, 2020

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • Os gráficos do monitor do console de gerenciamento às vezes não seriam exibidos corretamente em telas maiores.

  • Não era possível usar o fluxo de criação do manifesto do aplicativo GitHub em alguns cenários quando uma política de Cookie do SameSite foi aplicada.

  • Melhorias no dimensionamento do HAProxy

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

Enterprise Server 2.20.11

Download

July 08, 2020

  • MEDIUM: foi atualizado para a versão 1.16.1 e dirigiu o CVE-2019-20372. (atualizado 2020-07-22)

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • O gráfico de dependências não foi detectado quando implantado em uma configuração de cluster com vários nós de Redis.

  • Certos arquivos de registro não giraram a cada 7 dias.

  • A reutilização rápida de portas de origem de webhook resultaram em conexões rejeitadas.

  • Trabalhos em segundo plano incorretos podem tentar ser executados em instâncias configuradas como réplicas passivas.

  • Os repositórios internos não foram incluídos corretamente nos resultados de pesquisa para as orgs habilitadas com SAML.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

Enterprise Server 2.20.10

Download

June 22, 2020

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • Eventos de registro excessivamente grandes podem gerar instabilidade no encaminhamento do registro quando UDP foi usado como o mecanismo de transporte.

  • A suspensão automática de um usuário através de SSO não foi concluída se o atributo de chaves SSH já tinha chaves associadas à conta do usuário.

  • O hash de permissão do repositório da API REST não indicou acesso para membros de negócios que têm acesso a repositórios internos.

  • A visualização de uma descrição do aplicativo GitHub escrita em markdown não foi processada corretamente.

  • O log de auditoria não incluiu eventos de alteração de proteção de branch.

  • Tentar atribuir a revisão de código a um integrante de uma equipe vazia geraria "500 Internal Server Error".

  • A atribuição da revisão do código que usa o algoritmo de balanceamento de carga pode ser atribuída repetidamente ao mesmo integrante da equipe.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

  • O gráfico de dependências não é a detecção de dependências quando implantadas em uma configuração de cluster com vários nós de Redis. (atualizado 2020-06-30)

Enterprise Server 2.20.9

Download

June 01, 2020

  • ALTO: Uma vulnerabilidade de controle de acesso imprópria foi identificada na API do GitHub Enterprise Server que permitiu que um integrante da organização aumentasse as permissões e recebesse acesso a repositórios não autorizados dentro de uma organização. Esta vulnerabilidade afetou todas as versões do GitHub Enterprise Server anteriores à versão 2.21. Emitimos CVE-2020-10516 em resposta a este problema. A vulnerabilidade foi relatada por meio do [programa Bug Bounty do GitHub](https://bounty. ithub.com).

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • As instâncias do GitHub Enterprise Server voltadas para a Internet podem ser indexadas pelos mecanismos de busca.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Ao fazer push em um gist, pode-se adicionar uma exceção durante o hook de post-receive.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer push em um repositório na linha de comando. (atualizado 2020-06-23)

  • O gráfico de dependências não é a detecção de dependências quando implantadas em uma configuração de cluster com vários nós de Redis. (atualizado 2020-06-30)

Enterprise Server 2.20.8

Download

May 18, 2020

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • Depois que o arquivo de licença foi atualizado, os serviços não foram recarregados adequadamente, o que gerou perda de funcionalidades.

  • As solicitações da API interna que atualizam as informações do Gráfico de Dependência poderiam falhar se o texto da resposta fosse muito grande.

  • O argumento de afiliações para algumas conexões do repositório do GraphQL não foi respeitado.

  • A suspensão automática de um usuário através do SSO não foi concluída, caso o atributo de e-mail do SAML tenha um revestimento diferente do do e-mail do usuário do GitHub.

  • Restaurar a associação de um usuário a uma organização não instrumentou o ator em cargas de webhook e log de auditoria.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Ao fazer push em um gist, pode-se adicionar uma exceção durante o hook de post-receive.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer push em um repositório na linha de comando. (atualizado 2020-06-23)

  • O gráfico de dependências não é a detecção de dependências quando implantadas em uma configuração de cluster com vários nós de Redis. (atualizado 2020-06-30)

Enterprise Server 2.20.7

Download

May 04, 2020

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • ghe-repl-start e ghe-repl-status exibiram erros de sintaxe.

  • Se um repositório tiver a configuração "excluir branches de cabeçalhos automaticamente" habilitada, o branch do cabeçalho não foi excluído automaticamente quando um pull request foi mesclado pela instalação do aplicativo GitHub.

  • Quando um integrante da organização foi restabelecido, a carga do webhook relatou o usuário fantasma como o remetente e não como usuário real que executa a restauração.

  • Se um repositório tiver a configuração "excluir branches de cabeçalhos automaticamente" habilitada, o branch do cabeçalho não foi excluído automaticamente quando o repositório do cabeçalho era diferente do repositório de base.

  • A coleção de lixo de arquivos temporários pode gerar um erro de validação de licença.

  • Em algumas situações, inclusive quando um repositório é criado pela primeira vez, o hook de pre-receive seria executado sem um valor preenchido para a variável de ambiente GITHUB_REPO_PUBLIC.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Ao fazer push em um gist, pode-se adicionar uma exceção durante o hook de post-receive.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer push em um repositório na linha de comando. (atualizado 2020-06-23)

  • O gráfico de dependências não é a detecção de dependências quando implantadas em uma configuração de cluster com vários nós de Redis. (atualizado 2020-06-30)

Enterprise Server 2.20.6

Download

April 22, 2020

  • ALTO: O OpenSSL foi atualizado para o endereço CVE-2020-1967.

  • ALTO: O Git foi atualizado para o endereço CVE-2020-5260 e CVE-2020-11008. Novas restrições impedem que repositórios maliciosos sejam carregados para a instância do servidor, protegendo clientes que ainda não foram corrigidos.

  • BAIXO: ImageMagick foi atualizado para o endereço CVE-2019-10131.

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • O usuário do git não tinha permissões para invocar os processos necessários para converter repositórios existentes usando Subversion, do formato da v4 ao LRS da v3.

  • Uma incompatibilidade nas configurações do MySQL pode fazer com que os backups falhem em grandes instalações.

  • Ao atualizar de versões anteriores, trabalhadores em segundo plano às vezes não seriam gerados, o que impediu as funcionalidades essenciais como mesclar pull requests.

  • Quando uma licença do GitHub Enterprise Server continha caracteres diferentes dos da ASCII, as solicitações do tipo "GET" para o ponto de extremidade /setup/api/settings da API do console de gerenciamento resultaria em um erro de servidor interno.

  • O console de recuperação solicitaria uma senha de raiz, mesmo que a conta raiz tenha sido bloqueada.

  • Um arquivo de CODEOWNERS com uma marca de ordem inicial UTF-8 fez com que todas as regras de todos os códigos fossem ignoradas.

  • Quando o trabalho do cron do orchestrator-cliente falhou, vários e-mails foram enviados para a conta raiz.

  • Quando um provedor de identidade externo controlou o status de administrador do site do usuário, os usuários não puderem ser rebaixados por meio do utilitário da linha de comando.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Ao fazer push em um gist, pode-se adicionar uma exceção durante o hook de post-receive.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer push em um repositório na linha de comando. (atualizado 2020-06-23)

  • O gráfico de dependências não é a detecção de dependências quando implantadas em uma configuração de cluster com vários nós de Redis. (atualizado 2020-06-30)

Enterprise Server 2.20.5

Download

April 06, 2020

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • Uma opção máxima de tamanho de objeto Git de 100 Mb não pôde ser selecionada para um repositório, quando a conta corporativa global definiu uma opção de tamanho de objeto do Git diferente de 100 Mb.

  • Os resultados da API de problemas e de pull requests podem ter comportamento inconsistente ao ordenar pelo campo updated_at.

  • O campo package das vulnerabilidades de segurança não pôde ser consultado por meio da API do GraphQL.

  • A alteração um repositório de público para interno exibiu uma mensagem de cobrança irrelevante.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Ao fazer push em um gist, pode-se adicionar uma exceção durante o hook de post-receive.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Ao fazer a atualização de versões anteriores, os trabalhadores de segundo plano podem gerar, o que impede funcionalidades essenciais como fazer merge de pull requests.

  • Os alertas de segurança não são relatados ao fazer push em um repositório na linha de comando. (atualizado 2020-06-23)

  • O gráfico de dependências não é a detecção de dependências quando implantadas em uma configuração de cluster com vários nós de Redis. (atualizado 2020-06-30)

Enterprise Server 2.20.4

Download

March 24, 2020

  • As solicitações de autenticação do SAML e Metadados não foram estritamente codificadas, o que fez com que alguns provedores de identidade não processem corretamente as solicitações de autenticação iniciadas pelo provedor de serviços.

  • As exportações do ghe-migrator não continham usuários de marco que poderiam interromper as operações de importação.

  • Ao fazer push em um Gist, uma exceção pode ser acionada durante o hook de post-receive.

  • ghe-repl-status pode falhar ao tentar exibir repositórios que não foram totalmente replicados.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Ao fazer push em um gist, pode-se adicionar uma exceção durante o hook de post-receive.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Ao atualizar de versões anteriores, os trabalhadores dos trabalho em segundo plano podem não ser gerados, evitando recursos essenciais como fazer merge de pull requests. (atualizado 2020-04-07)

  • Os alertas de segurança não são relatados ao fazer push em um repositório na linha de comando. (atualizado 2020-06-23)

  • O gráfico de dependências não é a detecção de dependências quando implantadas em uma configuração de cluster com vários nós de Redis. (atualizado 2020-06-30)

Enterprise Server 2.20.3

Download

March 11, 2020

  • As atualizações e as atualizações de configurações poderiam falhar se as configurações em segundo plano do trabalhador tivessem sido personalizadas.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Ao fazer push em um gist, pode-se adicionar uma exceção durante o hook de post-receive.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Ao atualizar de versões anteriores, os trabalhadores dos trabalho em segundo plano podem não ser gerados, evitando recursos essenciais como fazer merge de pull requests. (atualizado 2020-04-07)

  • Os alertas de segurança não são relatados ao fazer push em um repositório na linha de comando. (atualizado 2020-06-23)

  • O gráfico de dependências não é a detecção de dependências quando implantadas em uma configuração de cluster com vários nós de Redis. (atualizado 2020-06-30)

Enterprise Server 2.20.2

Download

March 09, 2020

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • Em alguns casos, as entradas de log encaminhadas, principalmente para audit.log estavam truncadas.

  • O utilitário "ghe-license-check" da linha de comando retornou um erro "Arquivo de licença inválido" para algumas licenças válidas, gerando a falha de alterações de configuração.

  • Os logs de exceção de Alambic não foram encaminhados pelo Syslog.

  • O evento "org_block" não está disponível, mas estava aparecendo nos aplicativos GitHub no GitHub Enterprise Server.

  • As respostas às consultas do GraphQL às vezes retornaram identificadores de nó não comparados para objetos ProtectedBranch.

  • A credencial do aplicativo GitHub usada pelo GitHub Connect falhou ao atualizar imediatamente após a expiração.

  • Deixar um comentário em resposta a um comentário de pull request criou, de forma intermitente, uma revisão de pull request pendente.

  • Ao usar o ghe-migrator ou exportar do GitHub.com, uma exportação falha silenciosamente na exportação de anexos que não são imagens.

  • O hook de pre-receive retornou 500 erros na interface de usuário da web quando foram encontrados caracteres UTF-8.

  • O utilitário da linha de comando ghe-license-usage incliu uma opção --unencrypted nova para proporcionar visibilidade no arquivo de uso da licença exportado.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Ao fazer push em um gist, pode-se adicionar uma exceção durante o hook de post-receive.

  • As atualizações e as definições de atualização irão falhar se as configurações em segundo plano do trabalhador forem personalizadas.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Ao atualizar de versões anteriores, os trabalhadores dos trabalho em segundo plano podem não ser gerados, evitando recursos essenciais como fazer merge de pull requests. (atualizado 2020-04-07)

  • Os alertas de segurança não são relatados ao fazer push em um repositório na linha de comando. (atualizado 2020-06-23)

  • O gráfico de dependências não é a detecção de dependências quando implantadas em uma configuração de cluster com vários nós de Redis. (atualizado 2020-06-30)

Enterprise Server 2.20.1

Download

February 26, 2020

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • A restauração a partir de backups geraria uma falha com um erro de "Invalid RDB version number".

  • Atualizar uma réplica de HA atrasou indefinidamente a espera para o MySQL iniciar.

  • Os comentários de revisão de PR com valores inesperados para "position" ou "original_position" geraram falha nas importações.

  • As entradas duplicadas de webhook no banco de dados podem gerar falha de atualizações de versões anteriores.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Ao fazer push em um gist, pode-se adicionar uma exceção durante o hook de post-receive.

  • As atualizações e as definições de atualização irão falhar se as configurações em segundo plano do trabalhador forem personalizadas.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Ao atualizar de versões anteriores, os trabalhadores dos trabalho em segundo plano podem não ser gerados, evitando recursos essenciais como fazer merge de pull requests. (atualizado 2020-04-07)

  • Os alertas de segurança não são relatados ao fazer push em um repositório na linha de comando. (atualizado 2020-06-23)

  • O gráfico de dependências não é a detecção de dependências quando implantadas em uma configuração de cluster com vários nós de Redis. (atualizado 2020-06-30)

Enterprise Server 2.20.0

Download

February 10, 2020

  • Em um branch de repositório, os administradores do repositório podem rejeitar qualquer push que contenha um commit de merge, habilitando "Exigir histórico linear" ao usar [regras de proteção de branch](https://help.github. om/en/github/adadministrtering-a-repository/enabling-branch-restrictions).

  • Os administradores de repositório podem conceder a todos os usuários com acesso push a capacidade de fazer push forçado para um branch protegido, habilitando "Permitir pushes forçados" e usando [regras de proteção de branch](https://help. ithub.com/en/github/adadministrtering-a-repository/enabling-branch-restrictions).

  • Os administradores do repositório podem conceder a todos os usuários com acesso push a capacidade de excluir um branch protegido, habilitando "Permitir exclusões" e usando [regras de proteção de branch](https://help.github. om/en/github/adadministrtering-a-repository/enabling-branch-restrictions).

  • Os administradores podem definir um limite "maxobjectsize" nos repositórios, limitando o tamanho do commits de push para um repositório que não estão em [Git LFS](https://help.github. om/en/enterprise/admin/installation/configuring-git-large-file-storage-on-github-enterprise-server).

  • Os proprietários da organização podem criar um conjunto de etiquetas-padrão ao criar um novo repositório.

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • Quando um integrante de uma organização tentou visualizar um repositório público nessa organização, um prompt SSO poderia corromper a exibição da página.

  • Ao visualizar o perfil de usuários, os links para as equipes dos usuários poderiam estar corrompidos.

  • Usuários com a função "manter" não conseguiram editar os tópicos do repositório.

  • Um usuário que não é um administrador em uma organização receberá um erro 500 ao tentar acessar a página de inscrição.

  • O pop-up de histórico de edição não apareceria nos comentários do gist.

  • Foi possível registrar uma nova conta com um e-mail que já foi registrado.

  • Um serviço de armazenamento estava atingindo um limite de descritor de arquivos e deixando o kernel pendurado e outros serviços de log de erros.

  • Quando uma referência de link automático fazia parte de uma url, era possível remover o hiperlink.

  • Ao adicionar um comentário a um pull request, a seção "Problemas vinculados" da barra lateral poderia desaparecer.

  • Ao editar um convite existente de organização para um usuário, é possível que um cabeçalho duplicado apareça na tabela "Equipes".

  • O serviço "resqued" conseguiu parar de registrar eventos quando as filas se tornaram grandes demais.

  • Certificados autoassinados não são gerados automaticamente ao executar o comando ghe-config-apply para cluster e alta disponibilidade.

  • Nenhum logotipo será exibido para um tópico se um não tiver sido carregado.

  • Ao ver um problema em um navegador móvel, os metadados do problema serão listados na parte superior da página.

  • O domínio de nível superior do Cônsul mudou de ".consul" para ".ghe.local".

  • O serviço de hookshot não depende mais do ElasticSearch e usa apenas o MySQL como uma loja de banco de dados.

  • Implementou-se uma distinção visual aprimorada entre problema, projeto e discussão nos cartões de notas do projeto.

  • Em uma revisão de pull request, um aviso é exibido se um comentário linha múltipla for truncado.

  • Os usuários podem ver seus logs de auditoria na aba "Log de segurança" nas suas configurações pessoais.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Ao fazer push em um gist, pode-se adicionar uma exceção durante o hook de post-receive.

  • Entradas duplicadas de webhook no banco de dados podem gerar falha de atualizações de versões anteriores. (atualizada 2020-02-26)

  • As atualizações e as definições de atualização irão falhar se as configurações em segundo plano do trabalhador forem personalizadas.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Ao atualizar de versões anteriores, os trabalhadores dos trabalho em segundo plano podem não ser gerados, evitando recursos essenciais como fazer merge de pull requests. (atualizado 2020-04-07)

  • Os alertas de segurança não são relatados ao fazer push em um repositório na linha de comando. (atualizado 2020-06-23)

  • O gráfico de dependências não é a detecção de dependências quando implantadas em uma configuração de cluster com vários nós de Redis. (atualizado 2020-06-30)