我们经常发布文档更新,此页面的翻译可能仍在进行中。有关最新信息,请访问英文文档。如果此页面上的翻译有问题,请告诉我们

此版本的 GitHub Enterprise 将停止服务 2021-06-09. 即使针对重大安全问题,也不会发布补丁。 要获得更好的性能、改进的安全性和新功能,请升级到 GitHub Enterprise 的最新版本。 如需升级方面的帮助,请联系 GitHub Enterprise 支持

2.20

2.21 Release notes

2.22

Enterprise Server 2.21.21

Download

May 13, 2021

📣 这不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

  • Packages have been updated to the latest security versions.

  • Orchestrator auto failover could be enabled during the phase of config apply.

  • Users with maintainer permissions to a repository were shown an e-mail verification warning instead of a successful page build on the repository Pages settings page.

  • On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.

  • Custom firewall rules are not maintained during an upgrade.

  • Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.

  • Issues cannot be closed if they contain a permalink to a blob in the same repository where the file path is longer than 255 characters.

  • When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.

  • Security alerts are not reported when pushing to a repository on the command line.

Enterprise Server 2.21.20

Download

April 28, 2021

📣 这不是此版本系列的最新修补版,也不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

  • Packages have been updated to the latest security versions.

  • Setup script running on MySQL replication may have caused unnecessary database reseeding during database failover.

  • config-apply could take longer than necessary due to rake db:migrate being called unnecessarily.

  • Orchestrator could have failed over to a MySQL replica which was not replicating from primary during seeding phase when primary could not be connected.

  • Organizations or projects with errors blocked migration and could not be excluded.

  • Preflight checks allow all AWS instance types by default.

  • On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.

  • Custom firewall rules are not maintained during an upgrade.

  • Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.

  • Issues cannot be closed if they contain a permalink to a blob in the same repository where the file path is longer than 255 characters.

  • When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.

  • Security alerts are not reported when pushing to a repository on the command line.

Enterprise Server 2.21.19

Download

April 14, 2021

📣 这不是此版本系列的最新修补版,也不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

  • Packages have been updated to the latest security versions.

  • A warning message jq: error (at <stdin>:0): Cannot index number with string "settings" could occur during replica promotion.

  • Visiting the /settings/emails page would store state that could cause improper redirects when logging out and logging back in.

  • Dependency graph alerts weren't shown for some components whose advisories have upper case package names in vulnerable_version_ranges.

  • User saw 500 error when executing git operations on an instance configured with LDAP authentication.

  • When ghe-migrator encountered import errors, it would sometimes abort the entire process, and the logs did not include enough context.

  • On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.

  • Custom firewall rules are not maintained during an upgrade.

  • Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.

  • Issues cannot be closed if they contain a permalink to a blob in the same repository where the file path is longer than 255 characters.

  • When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.

  • Security alerts are not reported when pushing to a repository on the command line.

Enterprise Server 2.21.18

Download

April 01, 2021

📣 这不是此版本系列的最新修补版,也不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

  • 高:在 GitHub 企业服务器中发现了一个不当的访问控制漏洞,该漏洞允许从 GitHub App 的 Web 身份验证流程 生成的访问令牌通过 REST API 读取专用仓库元数据,而无需获得适当的权限。要利用此漏洞,攻击者需要在实例上创建 GitHub 应用程序,并让用户通过 Web 身份验证流程授权应用程序。返回的私有仓库元数据将仅限于令牌标识的用户拥有的仓库。此漏洞影响了 GitHub Enterprise Server 3.0.4 之前的所有版本,但在 3.0.4、2.22.10、2.21.18 版本中已修复。此漏洞已分配 CVE-2021-22865,并通过 [GitHub Bug Bounty 计划]](https://bounty.github.com) 报告。

  • 包已更新到最新的安全版本。

  • 服务未作为日志旋转的一部分而过渡到新的日志文件,导致磁盘使用量增加。

  • 内部仓库搜索结果上的标签显示为“私有”而不是“内部”。

  • 在新建的没有任何用户的 GitHub Enterprise Server 上,攻击者可以创建第一个管理员用户。

  • 自定义防火墙规则在升级期间不会保持。

  • Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。

  • 如果议题包含文件路径长于 255 个字符的同一仓库中 blob 的永久链接,则议题无法关闭。

  • 对 GitHub Connect 启用“用户可以搜索 GitHub.com”后,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。

  • 推送到命令行上的仓库时不报告安全警报。

Enterprise Server 2.21.17

Download

March 23, 2021

📣 这不是此版本系列的最新修补版,也不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

由于影响多个客户的重大错误,下载已禁用。修复程序将在下一个修补程序中提供。

  • 高:在 GitHub Enterprise Server 中发现了远程代码执行漏洞,可能在构建 GitHub Pages 站点时被利用。GitHub Pages 使用的用户控制配置选项没有受到足够的限制,因此可以覆盖导致在 GitHub Enterprise Server 实例上执行代码的环境变量。要利用此漏洞,攻击者需要获得在 GitHub Enterprise Server 实例上创建和构建 GitHub Pages 站点的权限。此漏洞影响 GitHub Enterprise Server 3.0.3 之前的所有版本,已在 3.0.3、2.22.9 和 2.21.17 中修复。此漏洞通过 GitHub Bug Bounty 计划报告,已分配 CVE-2021-22864。

  • 包已更新到最新的安全版本。

  • ghe-cluster-config-init 运行未完全考虑背景作业的退出代码,导致印检查的处理不当。

  • 除时间外,日志还根据大小旋转。

  • 即使有几个节点关闭,对 consul 和 nomad bootstrap_expect 使用相对编号也允许集群 bootstrap。

  • 在新建的没有任何用户的 GitHub Enterprise Server 上,攻击者可以创建第一个管理员用户。

  • 自定义防火墙规则在升级期间不会保持。

  • Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。

  • 如果议题包含文件路径长于 255 个字符的同一仓库中 blob 的永久链接,则议题无法关闭。

  • 对 GitHub Connect 启用“用户可以搜索 GitHub.com”后,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。

  • 推送到命令行上的仓库时不报告安全警报。

  • 日志旋转可能无法指示服务过渡到新日志文件,导致继续使用旧日志文件,最终根磁盘空间耗尽。 为了补救和/或防止这个问题,请在 管理 shell (SSH) 中运行以下命令或联系 GitHub Enterprise 支持 or GitHub Premium Support 寻求协助:

    printf "PATH=/usr/local/sbin:/usr/local/bin:/usr/local/share/enterprise:/usr/sbin:/usr/bin:/sbin:/bin\n29,59 * * * * root /usr/sbin/logrotate /etc/logrotate.conf\n" | sudo sponge /etc/cron.d/logrotate
    sudo /usr/sbin/logrotate -f /etc/logrotate.conf
    

Enterprise Server 2.21.16

Download

March 16, 2021

📣 这不是此版本系列的最新修补版,也不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

  • 包已更新到最新的安全版本。

  • 从 GitHub Enterprise Server 导入丢失的仓库文件将因错误而失败。

  • 在新建的没有任何用户的 GitHub Enterprise Server 上,攻击者可以创建第一个管理员用户。

  • 自定义防火墙规则在升级期间不会保持。

  • Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。

  • 如果议题包含文件路径长于 255 个字符的同一仓库中 blob 的永久链接,则议题无法关闭。

  • 对 GitHub Connect 启用“用户可以搜索 GitHub.com”后,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。

  • 推送到命令行上的仓库时不报告安全警报。

Enterprise Server 2.21.15

Download

March 02, 2021

📣 这不是此版本系列的最新修补版,也不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

  • 高:在 GitHub Enterprise Server 中发现了一个不适当的访问控制漏洞,允许经过验证的实例用户通过特殊构建的拉取请求和 REST API 请求获得对未授权仓库的写入权限。攻击者需要能够复刻目标仓库,该设置默认为组织拥有的私有仓库禁用。分支保护(如所需的拉取请求审查或状态检查)将防止未经进一步审查或验证的未授权提交被合并。此漏洞已分配 CVE-2021-22861。这个问题是通过 GitHub Bug Bounty 计划 报告的。

  • 高: GitHub Enterprise Server GraphQL API 中发现了一个不当的访问控制漏洞,允许经过验证的实例用户在未经适当授权的情况下修改拉取请求的维护者协作权限。通过利用此漏洞,攻击者将能够访问在其作为维护者的仓库上打开的拉取请求的头部分支。对于组织拥有的私有仓库,复刻默认为禁用,并将阻止此漏洞。此外,分支保护(如必需的拉取请求审查或状态检查)将防止未经进一步审查或验证的未授权提交被合并。此漏洞已分配 CVE-2021-22863。这个问题是通过 GitHub Bug Bounty 计划 报告的。

  • 高:在 GitHub Enterprise Server 中发现了远程代码执行漏洞,可能在构建 GitHub Pages 站点时被利用。GitHub Pages 使用的基础解析器的用户控制配置没有受到足够的限制,因此可以在 GitHub Enterprise Server 实例上执行命令。要利用此漏洞,攻击者需要获得在 GitHub Enterprise Server 实例上创建和构建 GitHub Pages 站点的权限。此漏洞已分配 CVE-2020-10519,并通过 GitHub Bug Bounty 计划 报告。

  • 中:来自 GitHub Pages 建立号的 GitHub 令牌可能在日志中结束。

  • 低:对 SVN 桥的特别设计请求可能会触发长时间的等待,然后再导致拒绝服务 (DoS)。

  • 包已更新到最新的安全版本。

  • 在某些情况下,负载平衡器健康检查可能导致 babld 日志充满有关代理协议的错误。

  • 在 GitHub Enterprise 备份实用程序快照期间,信息消息被无意中记录为错误,这导致在备份由侦听输出到 stderr 的 cron 作业安排时发送不必要的电子邮件。

  • 在恢复大型备份时,与 Redis 内存耗尽相关的异常记录可能导致恢复由于完整磁盘而出现故障。

  • 在编辑 wiki 页面时,用户单击 Save(保存)按钮时可能会遇到 500 错误。

  • 使用主题替代名称中具有多个名称的证书签名的 S/MIME 签名提交将错误地显示为提交徽章中的“未验证”。

  • 被暂停的用户在添加到团队时收到电子邮件。

  • 当仓库有大量清单时,在 Insights(见解)-> Dependency graph(依赖关系图)选项卡上显示错误 You have reached the maximum number of allowed manifest files (20) for this repository.(您已达到此存储库允许的清单文件的最大数量)。更多信息请参阅可视化限制

  • 上传与之前许可证文件不同数量的新许可证文件时,席位差异在企业帐户的 Settings(设置)-> License(许可证)页面中未正确表示。

  • 无法成功启用或禁用企业帐户设置中的“Prevent repository admins from changing anonymous Git read access(防止仓库管理员更改匿名 Git 读取访问权限)”复选框。

  • 当一个 GitHub Pages 构建失败时,电子邮件通知包含了支持位置的错误链接。

  • 在闰年,用户在尝试在星期一查看贡献活动时收到 404 响应。

  • 访问 Explore(探索) 部分失败,并且出现 500 内部服务器错误。

  • 在新建的没有任何用户的 GitHub Enterprise Server 上,攻击者可以创建第一个管理员用户。

  • 自定义防火墙规则在升级期间不会保持。

  • Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。

  • 如果议题包含文件路径长于 255 个字符的同一仓库中 blob 的永久链接,则议题无法关闭。

  • 对 GitHub Connect 启用“用户可以搜索 GitHub.com”后,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。

  • 推送到命令行上的仓库时不报告安全警报。

Enterprise Server 2.21.14

Download

December 17, 2020

📣 这不是此版本系列的最新修补版,也不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

  • 低:高 CPU 使用可能被特殊构建的 SVN 桥请求触发,导致 SVN 桥服务上的拒绝服务 (DoS)。

  • 包已更新到最新的安全版本。

  • 在没有任何用户的新建 GitHub Enterprise Server 上,攻击者可能创建第一个管理员用户。

  • 自定义防火墙规则在升级期间没有维护。

  • Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。

  • 议题若是包含同一仓库中文件路径长于 255 个字符的 blob 的永久链接,则无法关闭。

  • 在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。

  • 推送到命令行上的仓库时,不会报告安全警报。

Enterprise Server 2.21.13

Download

December 03, 2020

📣 这不是此版本系列的最新修补版,也不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

  • 由于 bootstrap 中的竞争条件导致服务重新启动,授权服务被检测为不健康。

  • 在热补丁升级过程中,一种潜在的行为导致服务不可用。

  • 未正确应用日志转发 SSL 证书的子集。

  • 发送电子邮件通知给已经从团队或组织中移除的已停用用户。

  • 组织和企业之间应用 SSH 证书的方式不一致。

  • 当帐户因使用不正确的密码而受到速率限制时,可能被锁定长达 24 小时。

  • 在具有许多引用的仓库上进行拉取请求同步可能导致工作人员队列落后。

  • 在尝试访问特定页面后登录时,用户被发送到主页,而不是其预期目的地。

  • 在没有任何用户的新建 GitHub Enterprise Server 上,攻击者可能创建第一个管理员用户。

  • 自定义防火墙规则在升级期间没有维护。

  • Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。

  • 议题若是包含同一仓库中文件路径长于 255 个字符的 blob 的永久链接,则无法关闭。

  • 在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。

  • 推送到命令行上的仓库时,不会报告安全警报。

Enterprise Server 2.21.12

Download

November 17, 2020

📣 这不是此版本系列的最新修补版,也不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

  • 包已更新到最新的安全版本。

  • Babeld 日志在秒与微秒之间缺少分隔符。

  • 当企业帐户“仓库可见性更改”策略设置为“启用”时,组织所有者无法更改组织内仓库的可见性。

  • 审核日志可归因于 127.0.0.1,而不是实际源 IP 地址。

  • 在没有任何用户的新建 GitHub Enterprise Server 上,攻击者可能创建第一个管理员用户。

  • 自定义防火墙规则在升级期间没有维护。

  • Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。

  • 议题若是包含同一仓库中文件路径长于 255 个字符的 blob 的永久链接,则无法关闭。

  • 在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。

  • 推送到命令行上的仓库时,不会报告安全警报。

Enterprise Server 2.21.11

Download

November 03, 2020

📣 这不是此版本系列的最新修补版,也不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

  • 中:高 CPU 使用可能被特殊构建的 SVN 桥请求触发,导致 SVN 桥服务上的拒绝服务 (DoS)。

  • 低:不正确的令牌验证导致在身份验证期间匹配令牌的熵减少。分析表明,在实践中,这里没有重大的安全风险。

  • 包已更新到最新的安全版本。

  • 使用包含非 ASCII 字符的文件名编辑议题模板将会失败,并显示“500 内部服务器错误”。

  • 背景作业的指标收集方法提高了 CPU 利用率。(更新于 2020-11-03)

  • 在没有任何用户的新建 GitHub Enterprise Server 上,攻击者可能创建第一个管理员用户。

  • 自定义防火墙规则在升级期间没有维护。

  • Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。

  • 议题若是包含同一仓库中文件路径长于 255 个字符的 blob 的永久链接,则无法关闭。

  • 在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。

  • 推送到命令行上的仓库时,不会报告安全警报。

  • 审核日志可归因于 127.0.0.1,而不是实际源 IP 地址。

Enterprise Server 2.21.10

Download

October 20, 2020

📣 这不是此版本系列的最新修补版,也不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

  • 包已更新到最新的安全版本。

  • 企业帐户“确认双因素要求策略”消息不正确。

  • 在没有任何用户的新建 GitHub Enterprise Server 上,攻击者可能创建第一个管理员用户。

  • 自定义防火墙规则在升级期间没有维护。

  • Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。

  • 议题若是包含同一仓库中文件路径长于 255 个字符的 blob 的永久链接,则无法关闭。

  • 在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。

  • 推送到命令行上的仓库时,不会报告安全警报。

  • 审核日志可归因于 127.0.0.1,而不是实际源 IP 地址。(更新于 2020-11-02)

Enterprise Server 2.21.9

Download

October 09, 2020

📣 这不是此版本系列的最新修补版,也不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

  • LDAP 目录用户名标准化为现有 GHES 帐户登录的用户可以验证现有帐户。

  • 包已更新到最新的安全版本。

  • 管理控制台中的 NameID 格式下拉列表将在设置为“持久”之后重置为“未指定”。

  • 通过管理控制台 保存设置将附加一个新行到 TLS/SSL 证书和密钥 文件,这触发了某些服务的不必要重新加载。

  • 依赖关系图的系统日志没有旋转,允许无限存储增长。

  • 如果请求的工人覆盖设置在使用中,升级可能会失败。

  • 使用 ghe-migrator 导入仓库时,如果数据不一致,可能发生意外异常。

  • 到 GitHub 安全通告的链接将使用 GitHub Enterprise Server 实例主机名的 URL 而不是 GitHub.com,将用户引导到不存在的 URL。

  • 当使用的身份验证模式不支持内置双重身份验证时,企业帐户安全设置页面显示用于“双重身份验证”设置的“查看组织当前配置”链接。

  • 当使用 ghe-migrator 导入 PR 审核请求时,与删除用户相关的记录将产生外部数据库记录。

  • 使用 "ghe-migrator" 导入用户时,如果系统生成的电子邮件地址超过 100 个字符,则会出现“电子邮件无效”的错误。

  • 记录 web 挂钩活动可能会使用大量的磁盘空间,并导致根盘变满。

  • 为 AWS EC2 实例类型 m5.16xlarge 添加了支持。

  • 删除 ghe-migrator 档案中 SSH 指纹的要求,因为它可以随时计算。

  • GitHub App 清单现在包含 request_oauth_on_install 字段。

  • 在没有任何用户的新建 GitHub Enterprise Server 上,攻击者可能创建第一个管理员用户。

  • 自定义防火墙规则在升级期间没有维护。

  • Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。

  • 议题若是包含同一仓库中文件路径长于 255 个字符的 blob 的永久链接,则无法关闭。

  • 在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。

  • 推送到命令行上的仓库时,不会报告安全警报。

  • 审核日志可归因于 127.0.0.1,而不是实际源 IP 地址。(更新于 2020-11-02)

Enterprise Server 2.21.8

Download

September 23, 2020

📣 这不是此版本系列的最新修补版,也不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

  • :ImageMagick 已经更新,以解决 DSA-4715-1

  • 包已更新到最新的安全版本。

  • 管理员无法看到已交付的仓库 web 挂钩,而是看到“抱歉,出错了,我们无法提取此挂钩的交付”。

  • 在没有任何用户的新建 GitHub Enterprise Server 上,攻击者可能创建第一个管理员用户。

  • 自定义防火墙规则在升级期间没有维护。

  • Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。

  • 议题若是包含同一仓库中文件路径长于 255 个字符的 blob 的永久链接,则无法关闭。

  • 在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。

  • 推送到命令行上的仓库时,不会报告安全警报。

  • 审核日志可归因于 127.0.0.1,而不是实际源 IP 地址。(更新于 2020-11-02)

Enterprise Server 2.21.7

Download

September 08, 2020

📣 这不是此版本系列的最新修补版,也不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

  • 服务状态检查导致会话增长,从而耗尽文件系统。

  • 使用热补丁的升级可能会失败,并显示错误:“未找到 'libdbi1'”

  • 配置仓库的权限到“分类”或“维护”不再失败。

  • 在没有任何用户的新建 GitHub Enterprise Server 上,攻击者可能创建第一个管理员用户。

  • 自定义防火墙规则在升级期间没有维护。

  • Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。

  • 议题若是包含同一仓库中文件路径长于 255 个字符的 blob 的永久链接,则无法关闭。

  • 在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。

  • 推送到命令行上的仓库时,不会报告安全警报。

  • 审核日志可归因于 127.0.0.1,而不是实际源 IP 地址。(更新于 2020-11-02)

Enterprise Server 2.21.6

Download

August 26, 2020

📣 这不是此版本系列的最新修补版,也不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

  • CRITICAL: A remote code execution vulnerability was identified in GitHub Pages that could be exploited when building a GitHub Pages site. User-controlled configuration of the underlying parsers used by GitHub Pages were not sufficiently restricted and made it possible to execute commands on the GitHub Enterprise Server instance. To exploit this vulnerability, an attacker would need permission to create and build a GitHub Pages site on the GitHub Enterprise Server instance. This vulnerability affected all versions of GitHub Enterprise Server. The underlying issues contributing to this vulnerability were identified both internally and through the GitHub Security Bug Bounty program. We have issued CVE-2020-10518.

  • MEDIUM: An improper access control vulnerability was identified that allowed authenticated users of the instance to determine the names of unauthorized private repositories given their numerical IDs. This vulnerability did not allow unauthorized access to any repository content besides the name. This vulnerability affected all versions of GitHub Enterprise Server prior to 2.22 and has been assigned CVE-2020-10517. The vulnerability was reported via the GitHub Bug Bounty program.

  • Packages have been updated to the latest security versions.

  • A message was not logged when the ghe-config-apply process had finished running ghe-es-auto-expand.

  • Excessive logging to the syslog file could occur on high-availability replicas if the primary appliance is unavailable.

  • Database re-seeding on a replica could fail with an error: Got packet bigger than 'max_allowed_packet'

  • In some cases duplicate user data could cause a 500 error while running the ghe-license-usage script.

  • Using ghe-migrator, the add command would fail to lock a repository when using the --lock flag.

  • In a high availability or geo-replication configuration, replica instances would exit maintenance mode when ghe-config-apply ran.

  • We've added support for the R5a and R5n AWS instance types.

  • Removed the license seat count information on the administrative SSH MOTD due to a performance issue impacting GitHub Enterprise Server clusters.

  • On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.

  • Custom firewall rules are not maintained during an upgrade.

  • Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.

  • Issues cannot be closed if they contain a permalink to a blob in the same repository where the file path is longer than 255 characters.

  • When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.

  • Security alerts are not reported when pushing to a repository on the command line.

  • Audit logs may be attributed to 127.0.0.1 instead of the actual source IP address. (updated 2020-11-02)

  • Configuring a repository's permission to Triage or Maintain fails with an error message.

Enterprise Server 2.21.5

Download

August 12, 2020

📣 这不是此版本系列的最新修补版,也不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

  • 解决了在生成系统配置模板时可能导致高 CPU 使用率的问题。

  • 最近对内存分配的更改可能导致系统性能退化

  • 运行数据库迁移时的临时连接问题可能导致数据丢失。

  • 在没有任何用户的新建 GitHub Enterprise Server 上,攻击者可能创建第一个管理员用户。

  • 自定义防火墙规则在升级期间没有维护。

  • Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。

  • 议题若是包含同一仓库中文件路径长于 255 个字符的 blob 的永久链接,则无法关闭。

  • 在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。

  • 推送到命令行上的仓库时,不会报告安全警报。

  • 审核日志可归因于 127.0.0.1,而不是实际源 IP 地址。(更新于 2020-11-02)

  • 配置仓库的权限到“分类”或“维护”失败,且显示错误消息。

Enterprise Server 2.21.4

Download

August 11, 2020

📣 这不是此版本系列的最新修补版,也不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

  • 关键:在 GitHub 页面中发现了一个远程代码执行漏洞,允许攻击者执行命令,作为构建 GitHub Pages 网站的一部分。此问题源于在 Pages 构建过程中使用了过时和有漏洞的依赖项。要利用此漏洞,攻击者需要在 GitHub Enterprise Server 实例 上构建 GitHub Pages 站点的权限。此漏洞影响 GitHub Enterprise Server 的所有版本。为缓解此漏洞的影响,Kramdown 已更新以解决 CVE-2020-14001。

  • 高:攻击者在 GitHub Enterprise Server 上执行时可能会将恶意参数注入 Git 子命令。这可能允许攻击者用部分用户控制的内容覆盖任意文件,并可能在 GitHub Enterprise Server 实例上执行任意命令。要利用此漏洞,攻击者需要访问 GHES 实例中仓库的权限。但由于已实施其他保护措施,因此我们无法确定积极利用这一漏洞的方法。此漏洞是通过 GitHub Security Bug Bounty 计划报告的。

  • 包已更新到最新的安全版本。

  • Consul 配置错误阻止在独立实例中处理一些后台任务。

  • 服务内存分配计算可能会将不正确或无限制的内存分配分配给某项服务,导致系统性能差。

  • 未正确检测到 oVirt KVM 系统的虚拟化平台,从而在升级过程中造成问题。

  • 通过 Git 命令行使用密码进行无效身份验证的错误消息没有填充链接以添加相应令牌或 SSH 密钥的 URL。

  • 使用议题模板功能在用户仓库上创建议题可能失败,并出现内部服务器错误。

  • 访问 Explore(探索)部分失败,并出现 500 内部服务器错误。

  • 议题不能通过 最近更新 存储到迁移至新实例的仓库中。

  • GitHub Connect 使用的是弃用的 GitHub.com API 端点。

  • 用于背景作业的内部指标收集促成了 CPU 和内存有不必要使用。

  • 404 页面在页脚中包含了 GitHub.com 联系人和状态链接。

  • 用于未发布功能的背景作业已排队,尚未处理。

  • 在没有任何用户的新建 GitHub Enterprise Server 上,攻击者可能创建第一个管理员用户。

  • 自定义防火墙规则在升级期间没有维护。

  • Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。

  • 议题若是包含同一仓库中文件路径长于 255 个字符的 blob 的永久链接,则无法关闭。

  • 在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。

  • 推送到命令行上的仓库时,不会报告安全警报。

  • 审核日志可归因于 127.0.0.1,而不是实际源 IP 地址。(更新于 2020-11-02)

  • 配置仓库的权限到“分类”或“维护”失败,且显示错误消息。

Enterprise Server 2.21.3

Download

July 21, 2020

📣 这不是此版本系列的最新修补版,也不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

  • 包已更新到最新的安全版本。

  • 管理控制台监视图有时无法在更大的屏幕上正确显示。

  • 应用 SameSite Cookie 策略时,GitHub 应用程序清单创建流在某些情况下无法使用。

  • 在某些情况下,访问“探索”页面会抛出应用程序错误。

  • 在没有任何用户的新建 GitHub Enterprise Server 上,攻击者可能创建第一个管理员用户。

  • 自定义防火墙规则在升级期间没有维护。

  • Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。

  • 议题若是包含同一仓库中文件路径长于 255 个字符的 blob 的永久链接,则无法关闭。

  • 在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。

  • 推送到命令行上的仓库时,不会报告安全警报。

  • 审核日志可归因于 127.0.0.1,而不是实际源 IP 地址。(更新于 2020-11-02)

  • 配置仓库的权限到“分类”或“维护”失败,且显示错误消息。

Enterprise Server 2.21.2

Download

July 09, 2020

📣 这不是此版本系列的最新修补版,也不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

  • 中: 将 nginx 更新到 1.16.1 并解决了 CV-2019-20372。(更新于 2020-07-22)

  • 包已更新到最新的安全版本。

  • 某些日志文件没有每 7 天轮换一次。

  • 快速重新使用 web 挂钩源端口导致拒绝连接。

  • 不正确的背景作业可能尝试在配置为被动副本的实例上运行。

  • 节点之间的 VPN 可能会变得不稳定,导致记录错误并且可用的根卷空间被耗尽。

  • 内部仓库未正确地包含在启用 SAML 的组织的搜索结果中。

  • 在没有任何用户的新建 GitHub Enterprise Server 上,攻击者可能创建第一个管理员用户。

  • 自定义防火墙规则在升级期间没有维护。

  • Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。

  • 议题若是包含同一仓库中文件路径长于 255 个字符的 blob 的永久链接,则无法关闭。

  • 在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。

  • 推送到命令行上的仓库时,不会报告安全警报。

  • 审核日志可归因于 127.0.0.1,而不是实际源 IP 地址。(更新于 2020-11-02)

  • 配置仓库的权限到“分类”或“维护”失败,且显示错误消息。

Enterprise Server 2.21.1

Download

June 23, 2020

📣 这不是此版本系列的最新修补版,也不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

  • 包已更新到最新的安全版本。

  • 当使用 UDP 作为传输机制时,过大的日志事件可能导致日志转发不稳定。

  • 用于访问 MySQL 的内部通信服务可能比所需更频繁地重新启动,包括部分通过升级过程的重新启动,这可能导致升级部分失败。我们降低了重新启动速度,使代码更加稳健。

  • 如果 SSH 密钥属性具有已与用户帐户关联的密钥,则用户通过 SSO 自动取消暂停未完成。

  • 来自 REST API 的仓库权限哈希表示,对于可拉取访问内部仓库的业务成员,无法访问仓库。

  • “仓库议题删除”企业帐户政策没有反映当前保存的设置。

  • 审核日志不包括分支保护更改事件。

  • 在没有任何用户的新建 GitHub Enterprise Server 上,攻击者可能创建第一个管理员用户。

  • 自定义防火墙规则在升级期间没有维护。

  • Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。

  • 议题若是包含同一仓库中文件路径长于 255 个字符的 blob 的永久链接,则无法关闭。

  • 在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。

  • 推送到命令行上的仓库时,不会报告安全警报。

  • 审核日志可归因于 127.0.0.1,而不是实际源 IP 地址。(更新于 2020-11-02)

  • 配置仓库的权限到“分类”或“维护”失败,且显示错误消息。

Enterprise Server 2.21.0

Download

June 09, 2020

📣 这不是此版本系列的最新修补版,也不是企业服务器的最新版本。请使用最新版本获取最新的安全性、性能和错误修复。

  • 在 GitHub Enterprise Server API 中发现了一个不适当的访问控制漏洞,它允许组织成员升级权限并访问组织内部未经授权的仓库。这个漏洞影响了 2.21 之前所有 GitHub Enterprise Server 版本。我们已经针对这个问题发布 CVE-2020-10516。该漏洞是通过 GitHub Bug Bounty program报告的。

  • 如果具有推送访问权限的用户将另一个用户的评论最小化,则该评论的作者即使特权不足,也可以将其取消减小化。

  • 用户可能会意外地从议题模板编辑器和 blob 编辑器中合并到主分支。

  • 当用户从 GitHub 中删除帐户时,审核日志记录没有正确显示组织删除记录。

  • 当前用户的 gist 头像将链接到一个不存在的URL。

  • 组织仓库标签计数不包括内部仓库。

  • 在转移仓库时点击“Show All Teams(显示所有团队)”按钮造成了 500 错误。

  • 长文件名可能会在显示“自上次查看以来发生的变化”标签或在差异文件视图上显示“显示富”差异时造成溢出问题。

  • 组织团队的悬停卡误报其成员大小。

  • 拉取请求审查评论弹出窗口有滚动问题。

  • Haproxy 可能会饱和,导致 git 操作减速。

  • 在 HA 副本升级后不自动启用依赖关系图功能。

  • 对于有数千个草稿拉取请求的仓库,在版本索引页面上可能会触发超时。

  • 无法同时通过状态和草稿过滤拉取请求。

  • 如果拉取请求更改了子模块指针,然后从拉取请求页面的“Files changed(已更改的文件)”选项卡单击该子模块文件上的“Edit file(编辑文件)”,会导致 404 错误。

  • 在大量删除该组织的所有用户和管理员之后,无法将用户添加到组织或删除组织。

  • 当页面重新加载时,对“Files changed(已更改的文件)”页面上文件名中包含变音符号和非拉丁字符的文件的审核评论将消失。

  • “Viewed(已查看)”复选框的状态对“"Files changed(已更改的文件)”页面上文件名中包含变音符号和非拉丁字符的文件不会保留。

  • 拉取请求所有必需审查尚未完成时显示“已批准”徽章。

  • 当在拥有超过 100 个标签的仓库中搜索标签时,标签下拉菜单为空。

  • 显示带有非 UTF-8 标题注释的拉取请求页面在视图渲染中可能遇到编码错误。

  • 在 OAuth 页面上刷新的竞争条件可能导致重定向执行两次。

  • 如果有超过 10 个令牌,“个人访问令牌”页面将超时。

  • 计划的 LDAP 用户和团队同步任务可能会在先前计划的同步任务仍在进行中时开始。已经实施锁定机制来防止新的同步任务在运行时启动。

  • Web 通知界面,包括新的 statesfiltersshortcuts,已经更新。

  • 现在可以禁用在 LDAP 同步时重新激活 LDAP 用户。

  • 已更新推送受保护分支措辞,以明确管理员总是可以推送,当状态检查通过时,具有维护角色的用户可以推送。

  • 当建议与原始文本相同时,防止空白提交。

  • 支持分页作为一种通过 REST API 在与提交相关的差异中获取更多文件的方式。

  • 管理员可以在命令行中使用 ghe-webhook-manage 启用、禁用、删除或使用 web 挂钩 ID 搜索。

  • 在手动清理合并的拉取请求的头部引用后,将会进行自动基础重新定位。

  • SVG 文件在差异查看器中处理为文本和图像。

  • 使用 REST API 创建和更新仓库时,可以设置“合并时自动删除分支”设置。

  • 已添加一个新的端点来通过 REST API 删除部署。

  • 管理员可以[启用安全警报](https://help.github.com/en/enterprise/2.21/admin/installation/enabling-security alerts-for-vulnerable-dependencies-on-github-enterprise-server#enabling-security-alerts-for-vulnerable-dependencies-for-vulnerable-dependencies-on-github-enterprise-server) 但禁用来自这些警报的所有通知。

  • 页面日志显示访问 GitHub Pages 网站的用户登录。

  • 企业成员可以导航到 https://[ghes-hostname]/enterprises/[account-name],从一个视图查看他们作业企业帐户一部分所属的所有组织。

  • 分类和维护角色的 REST API 支持 已扩展。

  • 用户可以使用 @me 搜索语法创建和分享解析到当前用户的搜索查询。

  • 新发行模板配置选项已 added

  • MySQL 备份和恢复可靠性以及完成时间已得到改善。

  • 议题侧边栏、议题和议题列表中拉取请求和议题引用的可见性已改进

  • 用户可以通过 linked:prlinked:issue 过滤和搜索。

  • MySQL 现在可在单个区域内自动故障转移以进行群集部署。

  • 用户可以比较两个版本之间的标签来确定发行版页面上发生了哪些更改。

  • 默认情况下,过时的评论不再在拉取请求时间线上折叠。它们可以通过解析线程来折叠。

  • 管理员可以通过导航到“保留登录”stafftools 选项卡来查看保留供内部使用的登录列表。

  • 在没有任何用户的新建 GitHub Enterprise Server 上,攻击者可能创建第一个管理员用户。

  • 自定义防火墙规则在升级期间没有维护。

  • Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。

  • 议题若是包含同一仓库中文件路径长于 255 个字符的 blob 的永久链接,则无法关闭。

  • 推送到 gist 时,可能会在后接收挂钩时触发异常。

  • 在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。

  • 推送到命令行上的仓库时,不会报告安全警报。(更新时间:2020-06-23)

  • 审核日志可归因于 127.0.0.1,而不是实际源 IP 地址。(更新于 2020-11-02)

  • 配置仓库的权限到“分类”或“维护”失败,且显示错误消息。

此文档对您有帮助吗?

Privacy policy

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或, 了解如何参与。