Enterprise Server 2.22.17
DownloadJuly, 14, 2021
📣 This is not the latest release of Enterprise Server. 请使用最新版本获取最新的安全性、性能和错误修复。
HIGH: A path traversal vulnerability was identified in GitHub Enterprise Server that could be exploited when building a GitHub Pages site. User-controlled configuration options used by GitHub Pages were not sufficiently restricted and made it possible to read files on the GitHub Enterprise Server instance. To exploit this vulnerability, an attacker would need permission to create and build a GitHub Pages site on the GitHub Enterprise Server instance. This vulnerability affected all versions of GitHub Enterprise Server prior to 3.1.3 and has been assigned CVE-2021-22867. This vulnerability was reported via the GitHub Bug Bounty program.
Packages have been updated to the latest security versions.
ghe-cluster-config-node-initwould fail during cluster setup if HTTP proxy is enabled.Collectd would not resolve the forwarding destination hostname after the initial startup.
The job that purged stale deleted repositories could fail to make progress if some of those repositories were protected from deletion by legal holds.
Git pushes could result in a 500 Internal Server Error during the user reconciliation process on instances using LDAP authentication mode.
A significant number of 503 errors were logged every time a user visited a repository's
/settingspage if the dependency graph was not enabled.
Improved the efficiency of config apply by skipping IP allow firewall rules that had not changed, which saved significant time on large clusters.
On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.
Custom firewall rules are removed during the upgrade process.
Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.
Issues cannot be closed if they contain a permalink to a blob in the same repository, where the blob's file path is longer than 255 characters.
When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.22.16
DownloadJune, 24, 2021
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 请使用最新版本获取最新的安全性、性能和错误修复。
Packages have been updated to the latest security versions.
The sshd service would sometimes fail to start on instances running on Google Cloud Platform.
Old upgrade files would persist on the user disk, sometimes resulting in out of space conditions.
An export archive would silently fail to import pull requests if they contained review requests from teams not present in the archive.
On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.
Custom firewall rules are removed during the upgrade process.
Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.
Issues cannot be closed if they contain a permalink to a blob in the same repository, where the blob's file path is longer than 255 characters.
When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.22.15
DownloadJune, 10, 2021
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 请使用最新版本获取最新的安全性、性能和错误修复。
Packages have been updated to the latest security versions.
Import failures of organizations or repositories from non-GitHub sources could produce an
undefined method '[]' for nil:NilClasserror.GitHub profile names might have changed unintentionally when using SAML authentication, if the GitHub profile name did not match the value of the attribute mapped to the
Full namefield in the Management Console.
Users of the GraphQL API can query the public field
closingIssuesReferenceson thePullRequestobject. This field retrieves issues that will be automatically closed when the related pull request is merged. This approach will also allow this data to be migrated in future, as part of a higher fidelity migration process.
On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.
Custom firewall rules are removed during the upgrade process.
Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.
Issues cannot be closed if they contain a permalink to a blob in the same repository, where the blob's file path is longer than 255 characters.
When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.22.14
DownloadMay, 25, 2021
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 请使用最新版本获取最新的安全性、性能和错误修复。
中:在某些情况下,从团队或组织中删除的用户可以保留对现有拉取请求打开的分支的写入权限。
包已更新到最新的安全版本。
MSSQL 中的正常复制延迟会生成警告。
管理员使用“Create Whitelist Entry(创建白名单条目)”按钮添加的 IP 地址仍可能被锁定。
spond创建了过多的日志条目,包括“修复位置已跳过”短语。
超过 4 个月的检查注释将存档。
在新建的没有任何用户的 GitHub Enterprise Server 上,攻击者可以创建第一个管理员用户。
自定义防火墙规则在升级期间不会保持。
Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。
如果议题包含文件路径长于 255 个字符的同一仓库中 blob 的永久链接,则议题无法关闭。
对 GitHub Connect 启用“用户可以搜索 GitHub.com”后,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.22.13
DownloadMay, 13, 2021
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 请使用最新版本获取最新的安全性、性能和错误修复。
高: 在 GitHub Enterprise Server 中发现了 UI 错误表述漏洞,允许在 GitHub 应用程序的用户授权网络流程期间授予比批准过程中显示给用户多的权限。要利用此漏洞,攻击者需要在实例上创建一个 GitHub 应用程序,用户需要通过 web 身份验证流程授权应用程序。所有授予的权限都将在第一次授权期间正确显示,但在某些情况下,如果用户在 GitHub 应用程序配置了额外的用户级权限后重新审查授权流程,这些额外的权限可能无法显示,导致授予的权限比用户潜在的预期要多。此漏洞会影响 3.0.7 之前的 GitHub Enterprise Server 3.0.x 和 2.22.13 之前的 2.22.x,在 3.0.7 和 2.22.13 版本中已修复。 已为此漏洞分配 CVE-2021-2286,并通过 GitHub Bug Bounty 计划 报告。
包已更新到最新的安全版本。
在配置应用阶段可以启用 Orchestrator 自动故障转移。
具有仓库维护员权限的用户会收到电子邮件验证警告,而不是在仓库 Pages 设置页面上构建成功的页面。
通配符规则的代码所有者将被错误地添加到代码所有者徽章的所有者列表中,即使该路径优先使用较新的规则。
OpenAPI 文档引用了无效的标头。
添加了 HAProxy 重载时配置更改的日志记录。
添加了仓库创建的日志记录。
在新建的没有任何用户的 GitHub Enterprise Server 上,攻击者可以创建第一个管理员用户。
自定义防火墙规则在升级期间不会保持。
Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。
如果议题包含文件路径长于 255 个字符的同一仓库中 blob 的永久链接,则议题无法关闭。
对 GitHub Connect 启用“用户可以搜索 GitHub.com”后,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.22.12
DownloadApril, 28, 2021
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 请使用最新版本获取最新的安全性、性能和错误修复。
包已更新到最新的安全版本。
在升级过程中,进程将在
cleanup nomad job之后无限期暂停。ghe-cluster-failover失败,出现错误消息Trilogy::Error: trilogy_connect。ghe-cluster-status-mysql将有关故障转移的警告显示为错误。在 MySQL 副本上运行的安装脚本可能导致数据库故障转移期间不必要的数据库重新播种。
由于不必要地调用
rake db:migrate,config-apply可能需要更长的时间。Orchestrator 可能已故障转移到 MySQL 副本,当主数据库无法连接时,它无法在播种阶段从主数据库复制。
出现错误的组织或项目阻止了迁移,无法排除。
由于选择了最完整的磁盘而不是空节点,存储主机超过三个的客户无法恢复到其灾难恢复集群。
默认情况下,预运行检查允许所有 AWS 实例类型。
在新建的没有任何用户的 GitHub Enterprise Server 上,攻击者可以创建第一个管理员用户。
自定义防火墙规则在升级期间不会保持。
Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。
如果议题包含文件路径长于 255 个字符的同一仓库中 blob 的永久链接,则议题无法关闭。
对 GitHub Connect 启用“用户可以搜索 GitHub.com”后,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.22.11
DownloadApril, 14, 2021
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 请使用最新版本获取最新的安全性、性能和错误修复。
包已更新到最新的安全版本。
警告消息
jq: error (at <stdin>:0): Cannot index number with string "settings"可能在副本升级期间出现。由于 MySQL 副本无法连接到主数据库,因此将备份连续还原到集群可能会失败。
由于 Treelights 容器内存不足,语法高亮可能失败。
访问
/settings/email页面会存储状态,在登出并重新登录时可能导致错误的重定向。对于其通告在
vulnerable_version_ranges中具有大写包名称的组件,未显示依赖项图警报。在议题评论中通过提及功能直接提及团队时,GitHub 集成应用程序无法通知团队。
当 ghe-migrator 遇到导入错误时,它有时会中止整个过程,但日志中没有包含足够的上下文。
在新建的没有任何用户的 GitHub Enterprise Server 上,攻击者可以创建第一个管理员用户。
自定义防火墙规则在升级期间不会保持。
Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。
如果议题包含文件路径长于 255 个字符的同一仓库中 blob 的永久链接,则议题无法关闭。
对 GitHub Connect 启用“用户可以搜索 GitHub.com”后,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.22.10
DownloadApril, 01, 2021
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 请使用最新版本获取最新的安全性、性能和错误修复。
高:在 GitHub 企业服务器中发现了一个不当的访问控制漏洞,该漏洞允许从 GitHub App 的 Web 身份验证流程 生成的访问令牌通过 REST API 读取专用仓库元数据,而无需获得适当的权限。要利用此漏洞,攻击者需要在实例上创建 GitHub 应用程序,并让用户通过 Web 身份验证流程授权应用程序。返回的私有仓库元数据将仅限于令牌标识的用户拥有的仓库。此漏洞影响了 GitHub Enterprise Server 3.0.4 之前的所有版本,但在 3.0.4、2.22.10、2.21.18 版本中已修复。此漏洞已分配 CVE-2021-22865,并通过 [GitHub Bug Bounty 计划]](https://bounty.github.com) 报告。
包已更新到最新的安全版本。
在 GitHub Enterprise 11.10.x 或更早版本中设置的时区没有被一些默认使用 UTC 时间的服务使用。
服务未作为日志旋转的一部分而过渡到新的日志文件,导致磁盘使用量增加。
内部仓库搜索结果上的标签显示为“私有”而不是“内部”。
在新建的没有任何用户的 GitHub Enterprise Server 上,攻击者可以创建第一个管理员用户。
自定义防火墙规则在升级期间不会保持。
Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。
如果议题包含文件路径长于 255 个字符的同一仓库中 blob 的永久链接,则议题无法关闭。
对 GitHub Connect 启用“用户可以搜索 GitHub.com”后,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.22.9
DownloadMarch, 23, 2021
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 请使用最新版本获取最新的安全性、性能和错误修复。
由于影响多个客户的重大错误,下载已禁用。修复程序将在下一个修补程序中提供。
高:在 GitHub Enterprise Server 中发现了远程代码执行漏洞,可能在构建 GitHub Pages 站点时被利用。GitHub Pages 使用的用户控制配置选项没有受到足够的限制,因此可以覆盖导致在 GitHub Enterprise Server 实例上执行代码的环境变量。要利用此漏洞,攻击者需要获得在 GitHub Enterprise Server 实例上创建和构建 GitHub Pages 站点的权限。此漏洞影响 GitHub Enterprise Server 3.0.3 之前的所有版本,已在 3.0.3、2.22.9 和 2.21.17 中修复。此漏洞通过 GitHub Bug Bounty 计划报告,已分配 CVE-2021-22864。
包已更新到最新的安全版本。
运行
ghe-cluster-config-init可能会使集群无法操作。系统可能会失去 HAProxy PID 的跟踪。
Mysql-failover 警告在成功故障转移后无限期显示。
ghe-cluster-config-init运行未完全考虑背景作业的退出代码,导致印检查的处理不当。在仓库设置页面左侧导航中没有显示安全与分析链接。
禁用 GitHub Packages 后,一些组织页面会返回 HTTP 500 错误响应。
通过执行 GitHub Enterprise Server 3.0 中的相同重新启动策略,提高 nomad 服务的可靠性。
即使有几个节点关闭,对 consul 和 nomad
bootstrap_expect使用相对编号也允许集群 bootstrap。除时间外,日志还根据大小旋转。
添加 kafka lite 到 'ghe-cluster-status' 命令。
在新建的没有任何用户的 GitHub Enterprise Server 上,攻击者可以创建第一个管理员用户。
自定义防火墙规则在升级期间不会保持。
Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。
如果议题包含文件路径长于 255 个字符的同一仓库中 blob 的永久链接,则议题无法关闭。
对 GitHub Connect 启用“用户可以搜索 GitHub.com”后,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。
日志旋转可能无法指示服务过渡到新日志文件,导致继续使用旧日志文件,最终根磁盘空间耗尽。 为了补救和/或防止这个问题,请在 管理 shell (SSH) 中运行以下命令或联系 GitHub Enterprise 支持 or GitHub Premium Support 寻求协助:
printf "PATH=/usr/local/sbin:/usr/local/bin:/usr/local/share/enterprise:/usr/sbin:/usr/bin:/sbin:/bin\n29,59 * * * * root /usr/sbin/logrotate /etc/logrotate.conf\n" | sudo sponge /etc/cron.d/logrotate sudo /usr/sbin/logrotate -f /etc/logrotate.confWhen a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.22.8
DownloadMarch, 16, 2021
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 请使用最新版本获取最新的安全性、性能和错误修复。
包已更新到最新的安全版本。
在多个地方复制了系统日志。
站点管理员在尝试查看从私有私有仓库引用的议题时可能会获得 500 错误页面。
从 GitHub Enterprise Server 导入丢失的仓库文件将因错误而失败。
在新建的没有任何用户的 GitHub Enterprise Server 上,攻击者可以创建第一个管理员用户。
自定义防火墙规则在升级期间不会保持。
Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。
如果议题包含文件路径长于 255 个字符的同一仓库中 blob 的永久链接,则议题无法关闭。
对 GitHub Connect 启用“用户可以搜索 GitHub.com”后,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。
用户可能会遇到一些资产(如头像)不加载,或者无法推送/拉取代码。这可能是由于
haproxy-cluster-proxy服务中的 PID 不匹配造成的。要确定您是否有受影响的实例:单一实例
. 在 administrative shell (SSH) 中运行:
`` if [ $(cat /var/run/haproxy-cluster-proxy.pid) -ne $(systemctl show --property MainPID --value haproxy-cluster-proxy) ]; then echo 'Main PID of haproxy-cluster-proxy does not match /var/run/haproxy-cluster-proxy.pid'; fi
2. 如果它显示存在不匹配,重启实例。 **集群或高可用性配置** 1. 在 [管理 shell](https://docs.github.com/en/enterprise-server/admin/configuration/accessing-the-administrative-shell-ssh) (SSH) 中运行它:ghe-cluster-each -- 'if [ $(cat /var/run/haproxy-cluster-proxy.pid) -ne $(systemctl show --property MainPID --value haproxy-cluster-proxy) ]; then echo 'Main PID of haproxy-cluster-proxy does not match /var/run/haproxy-cluster-proxy.pid'; fi'
2. 如果它显示一个或多个节点受到影响,请重启受影响的节点。When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.22.7
DownloadMarch, 02, 2021
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 请使用最新版本获取最新的安全性、性能和错误修复。
高:在 GitHub Enterprise Server 中发现了一个不适当的访问控制漏洞,允许经过验证的实例用户通过特殊构建的拉取请求和 REST API 请求获得对未授权仓库的写入权限。攻击者需要能够复刻目标仓库,该设置默认为组织拥有的私有仓库禁用。分支保护(如所需的拉取请求审查或状态检查)将防止未经进一步审查或验证的未授权提交被合并。此漏洞已分配 CVE-2021-22861。这个问题是通过 GitHub Bug Bounty 计划 报告的。
高: GitHub Enterprise Server GraphQL API 中发现了一个不当的访问控制漏洞,允许经过验证的实例用户在未经适当授权的情况下修改拉取请求的维护者协作权限。通过利用此漏洞,攻击者将能够访问在其作为维护者的仓库上打开的拉取请求的头部分支。对于组织拥有的私有仓库,复刻默认为禁用,并将阻止此漏洞。此外,分支保护(如必需的拉取请求审查或状态检查)将防止未经进一步审查或验证的未授权提交被合并。此漏洞已分配 CVE-2021-22863。这个问题是通过 GitHub Bug Bounty 计划 报告的。
高:在 GitHub Enterprise Server 中发现了远程代码执行漏洞,可能在构建 GitHub Pages 站点时被利用。GitHub Pages 使用的基础解析器的用户控制配置没有受到足够的限制,因此可以在 GitHub Enterprise Server 实例上执行命令。要利用此漏洞,攻击者需要获得在 GitHub Enterprise Server 实例上创建和构建 GitHub Pages 站点的权限。此漏洞已分配 CVE-2020-10519,并通过 GitHub Bug Bounty 计划 报告。
中:来自 GitHub Pages 建立号的 GitHub 令牌可能在日志中结束。
低:对 SVN 桥的特别设计请求可能会触发长时间的等待,然后再导致拒绝服务 (DoS)。
包已更新到最新的安全版本。
在某些情况下,负载平衡器健康检查可能导致 babld 日志充满有关代理协议的错误。
在 GitHub Enterprise 备份实用程序快照期间,信息消息被无意中记录为错误,这导致在备份由侦听输出到 stderr 的 cron 作业安排时发送不必要的电子邮件。
在恢复大型备份时,与 Redis 内存耗尽相关的异常记录可能导致恢复由于完整磁盘而出现故障。
首次设置新实例时,如果您选择“Configure as Replica(配置为副本)”,则无法开始复制。
启用 GitHub Actions 时,在管理控制台中禁用维护模式失败。
在编辑 wiki 页面时,用户单击 Save(保存)按钮时可能会遇到 500 错误。
使用主题替代名称中具有多个名称的证书签名的 S/MIME 签名提交将错误地显示为提交徽章中的“未验证”。
被暂停的用户在添加到团队时收到电子邮件。
用户在使用 LDAP 身份验证配置的实例上执行 git 操作时看到 500 错误。
remove_org_member_package_access背景作业在管理控制台中可见,并将不断增加。当仓库有大量清单时,在 Insights(见解)-> Dependency graph(依赖关系图)选项卡上显示错误
You have reached the maximum number of allowed manifest files (20) for this repository.(您已达到此存储库允许的清单文件的最大数量)。更多信息请参阅可视化限制。上传与之前许可证文件不同数量的新许可证文件时,席位差异在企业帐户的 Settings(设置)-> License(许可证)页面中未正确表示。
无法成功启用或禁用企业帐户设置中的“Prevent repository admins from changing anonymous Git read access(防止仓库管理员更改匿名 Git 读取访问权限)”复选框。
当一个 GitHub Pages 构建失败时,电子邮件通知包含了支持位置的错误链接。
在闰年,用户在尝试在星期一查看贡献活动时收到 404 响应。
添加了 AWS EC2 r5b 实例类型 支持。
调整的背景队列排列优先顺序,以更均匀地分配作业。
在新建的没有任何用户的 GitHub Enterprise Server 上,攻击者可以创建第一个管理员用户。
自定义防火墙规则在升级期间不会保持。
Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。
如果议题包含文件路径长于 255 个字符的同一仓库中 blob 的永久链接,则议题无法关闭。
对 GitHub Connect 启用“用户可以搜索 GitHub.com”后,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。
用户可能会遇到一些资产(如头像)不加载,或者无法推送/拉取代码。这可能是由于
haproxy-cluster-proxy服务中的 PID 不匹配造成的。要确定您是否有受影响的实例:单一实例
. 在 administrative shell (SSH) 中运行:
`` if [ $(cat /var/run/haproxy-cluster-proxy.pid) -ne $(systemctl show --property MainPID --value haproxy-cluster-proxy) ]; then echo 'Main PID of haproxy-cluster-proxy does not match /var/run/haproxy-cluster-proxy.pid'; fi
2. 如果它显示存在不匹配,重启实例。 **集群或高可用性配置** 1. 在 [管理 shell](https://docs.github.com/en/enterprise-server/admin/configuration/accessing-the-administrative-shell-ssh) (SSH) 中运行它:ghe-cluster-each -- 'if [ $(cat /var/run/haproxy-cluster-proxy.pid) -ne $(systemctl show --property MainPID --value haproxy-cluster-proxy) ]; then echo 'Main PID of haproxy-cluster-proxy does not match /var/run/haproxy-cluster-proxy.pid'; fi'
2. 如果它显示一个或多个节点受到影响,请重启受影响的节点。When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.22.6
DownloadDecember, 17, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 请使用最新版本获取最新的安全性、性能和错误修复。
低:高 CPU 使用可能被特殊构建的 SVN 桥请求触发,导致 SVN 桥服务上的拒绝服务 (DoS)。
包已更新到最新的安全版本。
对某些文件资源(如 zip 存档或原始文件)的请求可能会进入重定向循环。
超时可能会阻止某些问题和拉取请求搜索提供完整的搜索结果。
小屏幕上带有非字母字符的自定义选项卡未正确呈现。
当将内容推送到启用 Git LFS 的仓库时,基本行为导致失败。
在某些罕见情况下,通过 Web 界面访问时,议题可能会导致 500 错误。
在没有任何用户的新建 GitHub Enterprise Server 上,攻击者可能创建第一个管理员用户。
自定义防火墙规则在升级期间没有维护。
Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。
议题若是包含同一仓库中文件路径长于 255 个字符的 blob 的永久链接,则无法关闭。
在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.22.5
DownloadDecember, 03, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 请使用最新版本获取最新的安全性、性能和错误修复。
由于 bootstrap 中的竞争条件导致服务重新启动,授权服务被检测为不健康。
Elasticsearch 升级过程没有被 ghe-diagnattics 捕获。
在升级的高可用性配置上启用 GitHub Actions 导致复制出错。
在热补丁升级过程中,一种潜在的行为导致服务不可用。
连接到活动副本的用户在连接到实时 websocket 时出错。
未正确应用日志转发 SSL 证书的子集。
发送电子邮件通知给已经从团队或组织中移除的已停用用户。
组织和企业之间应用 SSH 证书的方式不一致。
当帐户因使用不正确的密码而受到速率限制时,可能被锁定长达 24 小时。
在具有许多引用的仓库上进行拉取请求同步可能导致工作人员队列落后。
在尝试访问特定页面后,当使用本地用户名和密码(内置身份验证)登录时,用户被发送到主页,而不是其预期目的地。
对于使用内部 SAML 身份提供商的内置身份验证的 GHES 实例,没有关联电子邮件地址的用户无法从 Web 界面创建提交。
在没有任何用户的新建 GitHub Enterprise Server 上,攻击者可能创建第一个管理员用户。
自定义防火墙规则在升级期间没有维护。
Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。
议题若是包含同一仓库中文件路径长于 255 个字符的 blob 的永久链接,则无法关闭。
在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.22.4
DownloadNovember, 17, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 请使用最新版本获取最新的安全性、性能和错误修复。
包已更新到最新的安全版本。
Babeld 日志在秒与微秒之间缺少分隔符。
在使用热补丁升级 GHES 之后,
ghe-actions-precheck和ghe-packages-precheck命令将会失败,并显示错误“"docker load" 不接受参数”。当企业帐户“仓库可见性更改”策略设置为“启用”时,组织所有者无法更改组织内仓库的可见性。
审核日志可归因于 127.0.0.1,而不是实际源 IP 地址。
在没有任何用户的新建 GitHub Enterprise Server 上,攻击者可能创建第一个管理员用户。
自定义防火墙规则在升级期间没有维护。
Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。
议题若是包含同一仓库中文件路径长于 255 个字符的 blob 的永久链接,则无法关闭。
在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.22.3
DownloadNovember, 03, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 请使用最新版本获取最新的安全性、性能和错误修复。
低:高 CPU 使用可能被特殊构建的 SVN 桥请求触发,导致 SVN 桥服务上的拒绝服务 (DoS)。(更新于 2020-11-16)
低:不正确的令牌验证导致在身份验证期间匹配令牌的熵减少。分析表明,在实践中,这里没有重大的安全风险。
包已更新到最新的安全版本。
GitHub Actions 如果以前在运行 2.22.0 的实例上启用并升级到 2.22.1 或 2.22.2,则可能无法成功启动。
在设置高可用性副本时 GitHub Actions 的配置文件未复制到副本中,这可能会导致
ghe-repl-promote期间出错。在新设置 2.22.1 或 2.22.2 实例或者升级到 2.22.1 或 2.22.2 后,组织仪表板上的活动源将不再更新。
使用包含非 ASCII 字符的文件名编辑议题模板将会失败,并显示“500 内部服务器错误”。
背景作业的指标收集方法提高了 CPU 利用率。(更新于 2020-11-03)
在没有任何用户的新建 GitHub Enterprise Server 上,攻击者可能创建第一个管理员用户。
自定义防火墙规则在升级期间没有维护。
Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。
议题若是包含同一仓库中文件路径长于 255 个字符的 blob 的永久链接,则无法关闭。
在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。
审核日志可归因于 127.0.0.1,而不是实际源 IP 地址。
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.22.2
DownloadOctober, 20, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 请使用最新版本获取最新的安全性、性能和错误修复。
包已更新到最新的安全版本。
如果存储帐户设置在配置 GitHub Actions 时无法验证,则在进行新尝试之前需要运行
ghe-actions-teardown。自定义代理配置可能会对 GitHub Actions 环境产生不利影响。
在 eth0 上更改地址时,Nomad 和 Consul 可能没有反应。
使用自签名证书时,GHES 在配置 GitHub Actions 时可能具有 SSL 验证异常。
从名称带有
+或/的分支使用 GitHub 操作导致错误:“无法解析操作”。企业帐户“确认双因素要求策略”消息不正确。
在某些超过 100MB 的请求中,Kafka 的缓冲区可能会被过度分配。
在没有任何用户的新建 GitHub Enterprise Server 上,攻击者可能创建第一个管理员用户。
自定义防火墙规则在升级期间没有维护。
Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。
议题若是包含同一仓库中文件路径长于 255 个字符的 blob 的永久链接,则无法关闭。
在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。
GitHub Actions 如果以前在运行 2.22.0 的实例上启用并升级到 2.22.2,则可能无法成功启动。(更新于 2020-10-23)
在新设置 2.22.2 实例或升级到 2.22.2 后,组织仪表板上的活动源将不再更新。(更新于 2020-10-27)
审核日志可归因于 127.0.0.1,而不是实际源 IP 地址。(更新于 2020-11-02)
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.22.1
DownloadOctober, 09, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 请使用最新版本获取最新的安全性、性能和错误修复。
中:ImageMagick 已经更新,以解决 DSA-4715-1。
如果发送的 OAuth 客户端 ID 和客户端机密与用于创建刷新令牌的不同,则将接受 GitHub App 集成中用于刷新 OAuth 访问令牌的请求。
LDAP 目录用户名标准化为现有 GHES 帐户登录的用户可以验证现有帐户。
包已更新到最新的安全版本。
管理控制台中的 NameID 格式下拉列表将在设置为“持久”之后重置为“未指定”。
使用热补丁的升级可能会失败,并显示错误:“未找到 'libdbi1'”
通过管理控制台 保存设置将附加一个新行到 TLS/SSL 证书和密钥 文件,这触发了某些服务的不必要重新加载。
依赖关系图的系统日志没有旋转,允许无限存储增长。
MS SQL Server 性能图显示来自主实例的统计信息,即使选择的是复制品。
如果 Actions 未启用,
ghe-actions-precheck将不运行存储检查而静默退出。如果请求的工人覆盖设置在使用中,升级可能会失败。
在容器中运行的一些服务没有发送日志到日报。
到 GitHub 安全通告的链接将使用 GitHub Enterprise Server 实例主机名的 URL 而不是 GitHub.com,将用户引导到不存在的 URL。
使用
ghe-migrator导入仓库时,如果数据不一致,可能发生意外异常。当使用的身份验证模式不支持内置双重身份验证时,企业帐户安全设置页面显示用于“双重身份验证”设置的“查看组织当前配置”链接。
OAuth 刷新令牌将过早删除。
搜索修复任务将在配置的迁移阶段产生异常。
在 GitHub Apps 的设置页面上,“测试版功能”选项卡在某些情况下不可见。
当使用
ghe-migrator导入 PR 审核请求时,与删除用户相关的记录将产生外部数据库记录。使用 "ghe-migrator" 导入用户时,如果系统生成的电子邮件地址超过 100 个字符,则会出现“电子邮件无效”的错误。
记录 web 挂钩活动可能会使用大量的磁盘空间,并导致根盘变满。
用户在具有高可用性复制的实例中经历了较慢的 Git 克隆和获取性能,因为读取被转到另一个节点。
用户或组织 GitHub Pages 站点的仓库设置页面将会失败,并出现“500 服务器内部错误”。
仓库网络维护操作可能卡在“运行中”状态。
上传代码扫描结果后立即删除仓库,可能会导致所有仓库的代码扫描结果处理停止。
当大量代码扫描结果同时提交时,批量处理超时可能导致代码扫描结果的处理停止。
从清单创建 GitHub 应用程序 将失败。
当 GitHub 用户名与管理控制台中映射到
username字段的属性值不匹配时,GitHub 用户名会在使用 SAML 身份验证时无意中被更改。
为 AWS EC2 实例类型
m5.16xlarge添加了支持。删除
ghe-migrator档案中 SSH 指纹的要求,因为它可以随时计算。GitHub App 清单现在包含
request_oauth_on_install字段。
在没有任何用户的新建 GitHub Enterprise Server 上,攻击者可能创建第一个管理员用户。
自定义防火墙规则在升级期间没有维护。
Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。
议题若是包含同一仓库中文件路径长于 255 个字符的 blob 的永久链接,则无法关闭。
在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。
如果原始备份源未启用该功能,则在将数据还原到 GitHub Actions-used 实例时,配置更新将失败。
GitHub Actions 如果以前在运行 2.22.0 的实例上启用并升级到 2.22.1,则可能无法成功启动。(更新于 2020-10-23)
在新设置 2.22.1 实例或升级到 2.22.1 后,组织仪表板上的活动源将不再更新。(更新于 2020-10-27)
审核日志可归因于 127.0.0.1,而不是实际源 IP 地址。(更新于 2020-11-02)
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.22.0
DownloadSeptember, 23, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 请使用最新版本获取最新的安全性、性能和错误修复。
GitHub 很高兴能提供 GitHub Enterprise Server 2.22.0。
GitHub Actions 测试版
GitHub Actions 是 CI/CD 和工作流程自动化的一个强大和灵活的解决方案。企业服务器上的 GitHub Actions 包括帮助您管理服务的工具,其中包括管理控制台中的关键指标、审核日志和访问控制,可帮助您控制系统的部署。
您需要为 GitHub Actions 提供自己的 storage 和运行器。支持 AWS S3、Azure Blob Storage 和 MinIO。请在您打开 GitHub Actions 之前查看平台更新的最低要求。要了解更多信息,请联系 GitHub 销售团队或注册测试版
GitHub Packages 测试版
GitHub Packages 是一个软件包托管服务,与 GitHub API、Actions 及 web 挂钩原生集成。创建一个 端到端 DevOps 工作流程,其中包括您的代码、持续集成和部署解决方案。
支持的存储返回端包括 AWS S3 和 MinIO,在未来的版本中支持 Azure blob。请注意,当前的 Docker 支持将在下一个发行版中替换为新的 GitHub Container Registry。在打开 GitHub Packages 之前,请查看平台更新最低要求。要了解更多信息,请联系 GitHub 销售团队或注册测试版。
Advanced Security Code 扫描测试版
GitHub 高级安全代码扫描 是一个开发者优先的 GitHub 原生静态应用程序安全测试 (SAST)。在安全漏洞进入生产之前轻松找到它们,全部由世界最强大的代码分析引擎 CodeQL 支持。
使用 GitHub Advanced Security 的管理员可以注册 和 enable GitHub Advanced Security 代码扫描测试版。要打开 GitHub Advanced Security 代码扫描,请查看平台更新最低要求。
拉取请求重新定位
当拉取请求的头部分支 被合并和删除时,同一仓库中所有其他定向到此分支的已打开请求现在被重新定向到合并的拉取请求的基础分支。以前前这些拉取请求会关闭。
暂停和取消暂停应用程序安装
管理员和用户可以根据需要暂停任何 GitHub App 的访问,以及通过“设置”和 API 在命令上取消暂停应用。已暂停的应用无法访问 GitHub API 或 web 挂钩事件。您可以使用这种方式,而不是卸载应用,因为这样也可以取消对每个用户的授权。''
改进的大型缩放性能
我们修订了为仓库计划网络维护的方法,确保大型单一仓库能够避免故障。 ''
被动副本现在在 GitHub Enterprise Server 集群部署中受支持并且可配置。这些更改可以更快进行故障切换,从而减少 RTO 和 RPO。
查看所有用户
对于超大型团队,管理员可以调整用户列表的默认最大值 1,500。''
管理更改
允许共享员工通过跨选项卡共享连接,使实时更新更具灵活性。
50x错误页面上的“联系支持”链接现在链接到管理控制台中配置的支持电子邮件或链接。现在可以通过企业帐户设置管理全局公告和到期日期.
如有必要,您现在可以免除用户不受管理控制台中配置的默认 API 费率限制。
仓库管理员现在可以从仓库设置中的单个对话框将其仓库设置为任何可用的可见性选项 。以前,您必须导航单独的章节、按钮和对话框,才可在公共与私有仓库之间以及在私有与内部仓库之间进行更改。
用户下拉菜单上的新企业设置链接可以更容易地导航到企业帐户设置。
/stafter 页面上旧的“管理中心”链接已删除。“企业”链接现在是从 /stafftools 页面导航到企业帐户的最佳途径。
企业帐户设置中的选项子菜单项已经从设置部分移到策略部分。
[使用个人访问令牌或 SSH 密钥访问资源现在算作用户活动](https://docs.github.com/en/enterprise/2.22/admin/user-management/managing-dormant-users)。这样可以减轻管理员从用户休眠报告中过滤掉某些用户的负担,并让使用“Suspend all(暂停所有)”按钮更加安全,不会意外地暂停仅使用个人访问令牌 (PAT) 或 SSH 密钥通过 API 以只读方式访问 GitHub 的用户。
安全性更改
双重登录过程中不能再使用双重恢复代码。一次性代码是唯一接受的值。
当用户以单点登录方式登录到 GitHub Enterprise Server 时,默认仓库可见性选择是私有的
GitHub 应用程序的所有者现在可以选择他们的用户到服务器访问令牌在 8 小时后过期,以帮助强制执行常规令牌轮换并减小令牌泄露的影响。
开发者更改
GitHub 用户界面经历了设计更新,仓库主页已重新设计,包括响应式布局和改进的移动 Web 体验。
在“Clone with SSH(用 SSH 克隆)”仓库下拉菜单中,如果用户没有任何密钥设置,现在将通知他们。
提交现在是按时间顺序在拉取请求时间表和提交选项卡中排序的。 这个新顺序也反映在“在拉取请求中列出提交” REST API 和 GraphQL “PullRequest 对象” 时间线连接中。
用户现在可以在评论文本区域中[设置表情符号自动完成结果的默认皮肤](https://github.blog/changelog/2020-07-17-customizable-skin-tonesin emoji-autocomplete/) 。
Tree-sitter 改进了语法突出显示,现在是用于语言解析的默认库。
用户和组织可以将 Twitter 用户名添加到他们的 GitHub 配置文件
API 更改
Graduated Previews
The following previews are now an official part of the API:
- The GitHub Apps API and endpoints that returned the
performed_via_github_appproperty no longer require themachine-manpreview header. - To add and view a lock reason to an issue, you no longer need to use the
sailor-vpreview header.
- The GitHub Apps API and endpoints that returned the
GraphQL Schema Changes
- The GraphQL schema changes include backwards-compatible changes, schema previews, and upcoming breaking changes.
VMware 网络驱动程序更改
从版本 2.22.0 开始,VMware 客户的 GitHub Enterprise Server 默认网络适配器类型已从 E1000 改为 VMXNET3。从早期版本升级到2.22 时,如果在升级前检查期间检测到 E1000 网络适配器, 以下信息将显示在命令行中:
警告:您的虚拟设备目前正在使用模拟 Intel E1000 网络适配器。 为了实现最佳性能,请更新您的 VMware 主机上的虚拟机配置,使用VMXNET3 驱动程序。 继续安装? [y/N]管理员可以在 GitHub Enterprise Server 升级之前或之后将网络适配器类型升级到 VMXNET3。 此更改需要关闭虚拟设备。 客户应该按照 VMware 建议的步骤更改虚拟机网络适配器配置 为 VMXNET3。请注意,如果虚拟设备的 OS 版本设置为
Other Linux (64位),VMXNET3将不是一个选项。 在这种情况下,操作系统的版本需要先从Other Linux (64位)更改为Other 2.6.x Linux (64位),或者,如果可用,更改为Debian GNU/Linux 9。我们建议先在暂存实例上测试这些更改,然后在生产GitHub Enterprise Server 上执行。
当有待处理的电子邮件邀请时,用于查看待定协作者的 stafftools 页面显示“500 内部服务器错误”。
stafftools 中的仓库健康状态检查可能会在繁忙的仓库上产生不正确的结果。
尝试接受电子邮件邀请的登录用户可能会收到“404 找不到”错误。
如果用户导航到名称以 "repositories." 开头的仓库,则被重定向到所有者的“ "Repositories(仓库)”选项卡,而不是登录合为概述页面。
仪表板时间线中的标签没有足够的对比度。
GitHub Enterprise Server 2.19 即将弃用
GitHub Enterprise Server 2.19 将从 2020 年 11 月 12 日起弃用 这意味着在此日期之后不会发布补丁,即使是关键的安全问题。为了提高性能、安全性和新功能,请尽快升级到最新版本的 GitHub Enterprise Server。
弃用旧版的 GitHub App web 挂钩事件
从 GitHub Enterprise Server 2.21.0 开始,两个旧的 GitHub 应用程序相关的 web 挂钩事件已弃用,并将在 GitHub Enterprise Server 2.25.0 中删除。弃用的事件
integration_installation和integration_installation_repositories都有受支持的相应事件。更多信息请见弃用公告博文。
弃用旧版 GitHub Apps 端点
从 GitHub Enterprise Server 2.21 开始,用于创建访问令牌的旧 GitHub Apps 端点被弃用,并将在 GitHub Enterprise Server 2.25.0 中删除。更多信息请见弃用通知博文。
弃用 OAuth Application API
GitHub 不再支持包含
access_token作为路径参数的 OAuth 应用程序端点。我们引入了新的端点,允许您通过将access_token移动到请求正文来安全地管理 OAuth 应用程序的令牌。虽然已弃用,但这些端点仍然可以在这个版本中访问。我们打算在 GitHub Enterprise Server 3.4 中删除这些端点。更多信息请参阅弃用公告博文。
GitHub Enterprise Server 2.22 至少需要 GitHub Enterprise Backup Utilities 2.22.0 才可进行 备份和灾难恢复。
在没有任何用户的新建 GitHub Enterprise Server 上,攻击者可能创建第一个管理员用户。
自定义防火墙规则在升级期间没有维护。
Git LFS 跟踪的文件通过 Web 界面上传 被错误地直接添加到仓库。
议题若是包含同一仓库中文件路径长于 255 个字符的 blob 的永久链接,则无法关闭。
在 GitHub Connect 中启用了“用户可以搜索 GitHub.com”时,私有和内部仓库中的议题不包括在 GitHub.com 搜索结果中。
管理控制台中的 Name ID Format(名称 ID 格式)下拉列表将在实例设置为“持久”之后重置为“未指定”。
用户或组织 GitHub Pages 站点的仓库设置页面将会失败,并出现“500 服务器内部错误”。
用户在具有高可用性复制的实例中可能会遇到较慢的 Git 克隆和获取性能,因为读取被转到另一个节点。
从清单创建 GitHub 应用程序 失败。要解决这个问题,用户可以遵循[创建 GitHub 应用程序]的手动指令(https://docs.github.com/en/enterprise/2.22/user/developers/apps/creating-a-github-app)。
如果 GitHub 用户名与管理控制台中映射到
username字段的属性值不匹配,GitHub 用户名可能在使用 SAML 身份验证时无意中被更改。(更新于 2020-10-08)在新设置 2.22.0 实例或升级到 2.22.0 后,组织仪表板上的活动源将不再更新。(更新于 2020-10-27)
审核日志可归因于 127.0.0.1,而不是实际源 IP 地址。(更新于 2020-11-02)
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.