Enterprise Server 3.4 release notes
Enterprise Server 3.4.15
Download GitHub Enterprise Server 3.4.15February 02, 2023
📣 Il ne s’agit pas de la dernière version d’Enterprise Server. Veuillez utiliser la dernière version pour bénéficier des dernières mises à jour de sécurité, de performances et de bogues.
During the validation phase of a configuration run, a
No such object error
may have occurred for the Notebook and Viewscreen services.When enabling automatic TLS certificate management with Let's Encrypt, the process could fail with the error
The certificate is not signed by a trusted certificate authority (CA) or the certificate chain in missing intermediate CA signing certificates
.
Bug fixes
On a freshly set up GitHub Enterprise Server instance without any users, an attacker could create the first admin user.
Custom firewall rules are removed during the upgrade process.
Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.
Issues cannot be closed if they contain a permalink to a blob in the same repository, where the blob's file path is longer than 255 characters.
When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.
The GitHub Packages npm registry no longer returns a time value in metadata responses. This was done to allow for substantial performance improvements. We continue to have all the data necessary to return a time value as part of the metadata response and will resume returning this value in the future once we have solved the existing performance issues.
Resource limits that are specific to processing pre-receive hooks may cause some pre-receive hooks to fail.
After registering a self-hosted runner with the
--ephemeral
parameter on more than one level (for example, both enterprise and organization), the runner may get stuck in an idle state and require re-registration. [Updated: 2022-06-17]After upgrading to GitHub Enterprise Server 3.4, releases may appear to be missing from repositories. This can occur when the required Elasticsearch index migrations have not successfully completed.
Dans certains cas, les clients GitHub Advanced Security qui effectuent une mise à niveau vers GitHub Enterprise Server 3.5 ou version ultérieure peuvent remarquer que les alertes de l’analyse secrète sont manquantes dans l’interface utilisateur web et l’API REST. Pour vous assurer que les alertes restent visibles, n’ignorez pas la version 3.4 lorsque vous effectuez une mise à niveau d’une version antérieure vers la version 3.5 ou ultérieure. Un correctif est disponible dans les versions de patch 3.5.5 et 3.6.1.
Pour planifier une mise à niveau via la version 3.4, consultez l’Assistant Mise à niveau. [Mise à jour : 01/09/2022]
Les mises à niveau à chaud vers GitHub Enterprise Server 3.4.9 peuvent échouer. Les mises à niveau avec le
.pkg
complet ne sont pas affectées. Si la mise à niveau échoue pour votre instance, résolvez ce problème en vous connectant à l’interpréteur de commandes d’administration (ssh) et en exécutant la commande non interactive suivante :echo "grub-pc grub-pc/install_devices_empty boolean true" | sudo debconf-set-selections
Si vous ne parvenez pas à mettre à niveau ou si vous avez besoin d’aide supplémentaire, contactez le support GitHub. Pour plus d’informations, consultez la page « Création d’un ticket de support ». [Mise à jour : 14/10/2022]
Known issues
Enterprise Server 3.4.14
Download GitHub Enterprise Server 3.4.14Invalid Date
📣 Il ne s’agit pas de la dernière version corrective de cette série de versions, et il ne s’agit pas de la dernière version d’Enterprise Server. Veuillez utiliser la dernière version pour bénéficier des dernières mises à jour de sécurité, de performances et de bogues.
-
ÉLEVÉE : Mise à jour de Git pour inclure les correctifs de la version 2.39.1, qui répondent à CVE-2022-41903 et CVE-2022-23521.
Security fixes
Sur une instance GitHub Enterprise Server qui vient d’être configurée sans aucun utilisateur, un attaquant pourrait créer le premier utilisateur administrateur.
Les règles de pare-feu personnalisées sont supprimées pendant le processus de mise à niveau.
Les fichiers suivis Git LFS chargés via l’interface web sont ajoutés directement au dépôt de manière incorrecte.
Les problèmes ne peuvent pas être fermés s’ils contiennent un permalien vers un blob dans le même dépôt, où le chemin de fichier du blob a plus de 255 caractères.
Lorsque l’option « Les utilisateurs peuvent effectuer des recherches sur GitHub.com » est activée avec GitHub Connect, les problèmes des référentiels privés et internes ne sont pas inclus dans les résultats de recherche de GitHub.com.
Le registre npm GitHub Packages ne renvoie plus une valeur de temps dans les réponses de métadonnées. Cela a été fait pour améliorer de manière substantielles les performances. Nous disposons toujours de toutes les données nécessaires pour retourner une valeur de temps dans le cadre de la réponse aux métadonnées et nous rétablirons le retour de cette valeur une fois que nous aurons résolu les problèmes de performance existants.
Les limites de ressources propres au traitement des hooks de pré-réception peuvent entraîner l’échec de certains d’entre eux.
Après avoir enregistré un exécuteur auto-hébergé avec le paramètre
--ephemeral
à plus d’un niveau (par exemple, entreprise et organisation), l’exécuteur peut rester bloqué dans un état d’inactivité et nécessiter un nouvel enregistrement. [Mise à jour : 17/06/2022]Après la mise à niveau vers GitHub Enterprise Server 3.4, des versions peuvent sembler manquer dans les référentiels. Cela peut se produire lorsque les migrations d’index Elasticsearch requises n’ont pas été effectuées avec succès.
Dans certains cas, les clients GitHub Advanced Security qui effectuent une mise à niveau vers GitHub Enterprise Server 3.5 ou version ultérieure peuvent remarquer que les alertes de l’analyse secrète sont manquantes dans l’interface utilisateur web et l’API REST. Pour vous assurer que les alertes restent visibles, n’ignorez pas la version 3.4 lorsque vous effectuez une mise à niveau d’une version antérieure vers la version 3.5 ou ultérieure. Un correctif est disponible dans les versions de patch 3.5.5 et 3.6.1.
Pour planifier une mise à niveau via la version 3.4, consultez l’Assistant Mise à niveau. [Mise à jour : 01/09/2022]
Les mises à niveau à chaud vers GitHub Enterprise Server 3.4.9 peuvent échouer. Les mises à niveau avec le
.pkg
complet ne sont pas affectées. Si la mise à niveau échoue pour votre instance, résolvez ce problème en vous connectant à l’interpréteur de commandes d’administration (ssh) et en exécutant la commande non interactive suivante :echo "grub-pc grub-pc/install_devices_empty boolean true" | sudo debconf-set-selections
Si vous ne parvenez pas à mettre à niveau ou si vous avez besoin d’aide supplémentaire, contactez le support GitHub. Pour plus d’informations, consultez la page « Création d’un ticket de support ». [Mise à jour : 14/10/2022]
Known issues
Enterprise Server 3.4.13
Download GitHub Enterprise Server 3.4.13January 12, 2023
📣 Il ne s’agit pas de la dernière version corrective de cette série de versions, et il ne s’agit pas de la dernière version d’Enterprise Server. Veuillez utiliser la dernière version pour bénéficier des dernières mises à jour de sécurité, de performances et de bogues.
Les métriques
Active workers
etQueued requests
pourgithub
(renommées à partir des métadonnées),gitauth
et les services de conteneurunicorn
n’étaient pas correctement lus à partir de collectd et affichés dans la console de gestion.Les dépôts verrouillés pour la migration autorisaient la modification des fichiers dans l’interface utilisateur web.
La commande
git-janitor
ne pouvait pas corriger les fichiers obsolètesmulti-pack-index.lock
, ce qui entraînait l’échec de la maintenance du dépôt.
Bug fixes
Les commandes
ghe-support-bundle
etghe-cluster-support-bundle
ont été mises à jour pour inclure l’indicateur-p/--period
afin de générer un bundle de support limité dans le temps. La durée peut être spécifiée en jours et heures, par exemple :-p 2 hours
,-p 1 day
,-p 2 days 5 hours
.Les performances des exécutions de configuration démarrées avec
ghe-config-apply
ont été améliorées.Durant la mise à niveau d’une instance avec une nouvelle partition racine, l’exécution de la commande
ghe-upgrade
avec l’option-t/--target
permet de garantir la vérification préalable de la taille de stockage disque minimale sur la partition cible.Durant l’exportation des données de compte, la sauvegarde d’un dépôt ou l’exécution d’une migration, le lien vers une archive de dépôt expire désormais au bout d’une heure. Auparavant, le lien d’archive expirait au bout de 5 minutes.
Changes
Sur une instance GitHub Enterprise Server qui vient d’être configurée sans aucun utilisateur, un attaquant pourrait créer le premier utilisateur administrateur.
Les règles de pare-feu personnalisées sont supprimées pendant le processus de mise à niveau.
Les fichiers suivis Git LFS chargés via l’interface web sont ajoutés directement au dépôt de manière incorrecte.
Les problèmes ne peuvent pas être fermés s’ils contiennent un permalien vers un blob dans le même dépôt, où le chemin de fichier du blob a plus de 255 caractères.
Lorsque l’option « Les utilisateurs peuvent effectuer des recherches sur GitHub.com » est activée avec GitHub Connect, les problèmes des référentiels privés et internes ne sont pas inclus dans les résultats de recherche de GitHub.com.
Le registre npm GitHub Packages ne renvoie plus une valeur de temps dans les réponses de métadonnées. Cela a été fait pour améliorer de manière substantielles les performances. Nous disposons toujours de toutes les données nécessaires pour retourner une valeur de temps dans le cadre de la réponse aux métadonnées et nous rétablirons le retour de cette valeur une fois que nous aurons résolu les problèmes de performance existants.
Les limites de ressources propres au traitement des hooks de pré-réception peuvent entraîner l’échec de certains d’entre eux.
Après avoir enregistré un exécuteur auto-hébergé avec le paramètre
--ephemeral
à plus d’un niveau (par exemple, entreprise et organisation), l’exécuteur peut rester bloqué dans un état d’inactivité et nécessiter un nouvel enregistrement. [Mise à jour : 17/06/2022]Après la mise à niveau vers GitHub Enterprise Server 3.4, des versions peuvent sembler manquer dans les référentiels. Cela peut se produire lorsque les migrations d’index Elasticsearch requises n’ont pas été effectuées avec succès.
Dans certains cas, les clients GitHub Advanced Security qui effectuent une mise à niveau vers GitHub Enterprise Server 3.5 ou version ultérieure peuvent remarquer que les alertes de l’analyse secrète sont manquantes dans l’interface utilisateur web et l’API REST. Pour vous assurer que les alertes restent visibles, n’ignorez pas la version 3.4 lorsque vous effectuez une mise à niveau d’une version antérieure vers la version 3.5 ou ultérieure. Un correctif est disponible dans les versions de patch 3.5.5 et 3.6.1.
Pour planifier une mise à niveau via la version 3.4, consultez l’Assistant Mise à niveau. [Mise à jour : 01/09/2022]
Les mises à niveau à chaud vers GitHub Enterprise Server 3.4.9 peuvent échouer. Les mises à niveau avec le
.pkg
complet ne sont pas affectées. Si la mise à niveau échoue pour votre instance, résolvez ce problème en vous connectant à l’interpréteur de commandes d’administration (ssh) et en exécutant la commande non interactive suivante :echo "grub-pc grub-pc/install_devices_empty boolean true" | sudo debconf-set-selections
Si vous ne parvenez pas à mettre à niveau ou si vous avez besoin d’aide supplémentaire, contactez le support GitHub. Pour plus d’informations, consultez la page « Création d’un ticket de support ». [Mise à jour : 14/10/2022]
Known issues
Enterprise Server 3.4.12
Download GitHub Enterprise Server 3.4.12Invalid Date
📣 Il ne s’agit pas de la dernière version corrective de cette série de versions, et il ne s’agit pas de la dernière version d’Enterprise Server. Veuillez utiliser la dernière version pour bénéficier des dernières mises à jour de sécurité, de performances et de bogues.
ÉLEVÉE : Une vulnérabilité de traversée de chemin a été identifiée dans GitHub Enterprise Server, qui permettait l’exécution de code distant lors de la génération d’un site GitHub Pages. Pour exploiter cette vulnérabilité, un attaquant avait besoin de l’autorisation de créer et générer un site GitHub Pages sur l’instance. Cette vulnérabilité a été signalée via le programme GitHub Bug Bounty et porte le numéro CVE-2022-46256.
ÉLEVÉE : Une vulnérabilité d’autorisation incorrecte permettait à un jeton délimité utilisateur-à-serveur de passer à un accès administrateur total pour un dépôt. Un attaquant avait besoin d’un compte avec un accès administrateur pour installer une application GitHub malveillante. Cette vulnérabilité affectait toutes les versions de GitHub Enterprise Server antérieures à la version 3.7.0. Cette vulnérabilité a été signalée via le programme GitHub Bug Bounty et s’est vu affecter le numéro CVE-2022-23741.
Security fixes
Quand un administrateur de site exécutait la commande
ghe-repl-sync-ca-certificates
à partir d’un nœud primaire d’instances par le biais du shell d’administration (SSH), la commande répliquait uniquement les certificats d’autorité de certification du nœud primaire d’instances vers un seul nœud de réplica. La commande ne répliquait pas les certificats sur tous les nœuds de réplica disponibles.L’installation de GitHub Enterprise Server sur l’hyperviseur VMware ESXi échouait en raison de la génération d’un fichier OVA avec une valeur de capacité non valide.
Lorsque les utilisateurs effectuaient une opération à l’aide de l’API, GitHub Enterprise Server appliquait des quotas de taille de dépôt, même en cas de désactivation globale.
L’événement de webhook
member
n’incluait pas les valeurs de champfrom
etto
pour le champpermission
dans le cadre du champchanges
.Une fois le compte d’utilisateur supprimé de l’instance, les pièces jointes d’images que l’utilisateur avaient chargées dans les commentaires n’étaient plus visibles dans l’interface web.
Un message au niveau du débogage apparaissait dans un journal système, ce qui pouvait consommer rapidement de l’espace sur le volume de stockage racine de l’instance.
Bug fixes
Sur une instance GitHub Enterprise Server qui vient d’être configurée sans aucun utilisateur, un attaquant pourrait créer le premier utilisateur administrateur.
Les règles de pare-feu personnalisées sont supprimées pendant le processus de mise à niveau.
Les fichiers suivis Git LFS chargés via l’interface web sont ajoutés directement au dépôt de manière incorrecte.
Les problèmes ne peuvent pas être fermés s’ils contiennent un permalien vers un blob dans le même dépôt, où le chemin de fichier du blob a plus de 255 caractères.
Lorsque l’option « Les utilisateurs peuvent effectuer des recherches sur GitHub.com » est activée avec GitHub Connect, les problèmes des référentiels privés et internes ne sont pas inclus dans les résultats de recherche de GitHub.com.
Le registre npm GitHub Packages ne renvoie plus une valeur de temps dans les réponses de métadonnées. Cela a été fait pour améliorer de manière substantielles les performances. Nous disposons toujours de toutes les données nécessaires pour retourner une valeur de temps dans le cadre de la réponse aux métadonnées et nous rétablirons le retour de cette valeur une fois que nous aurons résolu les problèmes de performance existants.
Les limites de ressources propres au traitement des hooks de pré-réception peuvent entraîner l’échec de certains d’entre eux.
Après avoir enregistré un exécuteur auto-hébergé avec le paramètre
--ephemeral
à plus d’un niveau (par exemple, entreprise et organisation), l’exécuteur peut rester bloqué dans un état d’inactivité et nécessiter un nouvel enregistrement. [Mise à jour : 17/06/2022]Après la mise à niveau vers GitHub Enterprise Server 3.4, des versions peuvent sembler manquer dans les référentiels. Cela peut se produire lorsque les migrations d’index Elasticsearch requises n’ont pas été effectuées avec succès.
Dans certains cas, les clients GitHub Advanced Security qui effectuent une mise à niveau vers GitHub Enterprise Server 3.5 ou version ultérieure peuvent remarquer que les alertes de l’analyse secrète sont manquantes dans l’interface utilisateur web et l’API REST. Pour vous assurer que les alertes restent visibles, n’ignorez pas la version 3.4 lorsque vous effectuez une mise à niveau d’une version antérieure vers la version 3.5 ou ultérieure. Un correctif est disponible dans les versions de patch 3.5.5 et 3.6.1.
Pour planifier une mise à niveau via la version 3.4, consultez l’Assistant Mise à niveau. [Mise à jour : 01/09/2022]
Les mises à niveau à chaud vers GitHub Enterprise Server 3.4.9 peuvent échouer. Les mises à niveau avec le
.pkg
complet ne sont pas affectées. Si la mise à niveau échoue pour votre instance, résolvez ce problème en vous connectant à l’interpréteur de commandes d’administration (ssh) et en exécutant la commande non interactive suivante :echo "grub-pc grub-pc/install_devices_empty boolean true" | sudo debconf-set-selections
Si vous ne parvenez pas à mettre à niveau ou si vous avez besoin d’aide supplémentaire, contactez le support GitHub. Pour plus d’informations, consultez la page « Création d’un ticket de support ». [Mise à jour : 14/10/2022]
Known issues
Enterprise Server 3.4.11
Download GitHub Enterprise Server 3.4.11November 22, 2022
📣 Il ne s’agit pas de la dernière version corrective de cette série de versions, et il ne s’agit pas de la dernière version d’Enterprise Server. Veuillez utiliser la dernière version pour bénéficier des dernières mises à jour de sécurité, de performances et de bogues.
MOYENNE : Mise à jour de CommonMarker pour résoudre un scénario où les requêtes parallèles adressées à l’API REST Markdown pouvaient entraîner une épuisement des ressources non liées. Cette vulnérabilité s’est vu affecter le numéro CVE-2022-39209.
MOYENNE : Les jetons étendus d’utilisateur à serveur à partir d’applications GitHub pouvaient contourner les vérifications d’autorisation dans les requêtes d’API GraphQL lors de l’accès aux ressources hors dépôt. Cette vulnérabilité a été signalée via le programme GitHub Bug Bounty et s’est vu affecter le numéro CVE-2022-23739.
MOYENNE : Les liens d’aperçu de la demande de tirage ne nettoyaient pas correctement les URL, ce qui permettait à un utilisateur malveillant d’incorporer des liens dangereux dans l’interface utilisateur web des instances. Cette vulnérabilité a été signalée via le programme GitHub Bug Bounty.
MOYENNE : Une vulnérabilité d’autorisation incorrecte a été identifiée dans GitHub Enterprise Server ; elle permettait à un jeton d’étendue de dépôt avec accès en lecture/écriture de modifier les fichiers de workflow GitHub Actions sans étendue de workflow. L’API « Créer ou mettre à jour le contenu du fichier » devrait appliquer l’étendue du workflow. Cette vulnérabilité a été signalée via le programme GitHub Bug Bounty et s’est vu affecter le numéro CVE-2022-46258.
Security fixes
Si GitHub Actions a été configuré avec le stockage d’objets blob S3 pour l’instance, le contenu, comme les journaux et les artefacts des exécutions de workflow supprimées ou expirées, restait indéfiniment dans le stockage d’objets blob. L’instance supprimera automatiquement ce contenu lors de la prochaine exécution d’un travail de nettoyage en arrière-plan normal.
La définition du mode maintenance avec une liste d’exceptions IP n’est pas conservée entre les mises à niveau.
Les builds de GitHub Pages pouvaient expirer sur des instances dans AWS qui sont configurées pour la haute disponibilité.
Après la configuration des e-mails Dependabot et de synthèse d’alerte, l’instance envoyait des e-mails de synthèse aux utilisateurs suspendus.
Si un utilisateur avait configuré un hook de pré-réception pour plusieurs dépôts, la page Hooks des instances n’affichait pas toujours l’état correct pour le hook.
Dans certains cas, les utilisateurs ne pouvaient pas fusionner une demande de tirage en raison de vérifications d’état inattendues.
Après avoir exécuté des migrations pour GitHub Enterprise Importer sur une instance configurée pour la haute disponibilité, la réplication des ressources de stockage de migration ne rattrapait pas son retard.
Les processus zombies ne s’accumulent plus dans le conteneur
gitrpcd
.
Bug fixes
Sur une instance GitHub Enterprise Server qui vient d’être configurée sans aucun utilisateur, un attaquant pourrait créer le premier utilisateur administrateur.
Les règles de pare-feu personnalisées sont supprimées pendant le processus de mise à niveau.
Les fichiers suivis Git LFS chargés via l’interface web sont ajoutés directement au dépôt de manière incorrecte.
Les problèmes ne peuvent pas être fermés s’ils contiennent un permalien vers un blob dans le même dépôt, où le chemin de fichier du blob a plus de 255 caractères.
Lorsque l’option « Les utilisateurs peuvent effectuer des recherches sur GitHub.com » est activée avec GitHub Connect, les problèmes des référentiels privés et internes ne sont pas inclus dans les résultats de recherche de GitHub.com.
Le registre npm GitHub Packages ne renvoie plus une valeur de temps dans les réponses de métadonnées. Cela a été fait pour améliorer de manière substantielles les performances. Nous disposons toujours de toutes les données nécessaires pour retourner une valeur de temps dans le cadre de la réponse aux métadonnées et nous rétablirons le retour de cette valeur une fois que nous aurons résolu les problèmes de performance existants.
Les limites de ressources propres au traitement des hooks de pré-réception peuvent entraîner l’échec de certains d’entre eux.
Après avoir enregistré un exécuteur auto-hébergé avec le paramètre
--ephemeral
à plus d’un niveau (par exemple, entreprise et organisation), l’exécuteur peut rester bloqué dans un état d’inactivité et nécessiter un nouvel enregistrement. [Mise à jour : 17/06/2022]Après la mise à niveau vers GitHub Enterprise Server 3.4, des versions peuvent sembler manquer dans les référentiels. Cela peut se produire lorsque les migrations d’index Elasticsearch requises n’ont pas été effectuées avec succès.
Dans certains cas, les clients GitHub Advanced Security qui effectuent une mise à niveau vers GitHub Enterprise Server 3.5 ou version ultérieure peuvent remarquer que les alertes de l’analyse secrète sont manquantes dans l’interface utilisateur web et l’API REST. Pour vous assurer que les alertes restent visibles, n’ignorez pas la version 3.4 lorsque vous effectuez une mise à niveau d’une version antérieure vers la version 3.5 ou ultérieure. Un correctif est disponible dans les versions de patch 3.5.5 et 3.6.1.
Pour planifier une mise à niveau via la version 3.4, consultez l’Assistant Mise à niveau. [Mise à jour : 01/09/2022]
Les mises à niveau à chaud vers GitHub Enterprise Server 3.4.9 peuvent échouer. Les mises à niveau avec le
.pkg
complet ne sont pas affectées. Si la mise à niveau échoue pour votre instance, résolvez ce problème en vous connectant à l’interpréteur de commandes d’administration (ssh) et en exécutant la commande non interactive suivante :echo "grub-pc grub-pc/install_devices_empty boolean true" | sudo debconf-set-selections
Si vous ne parvenez pas à mettre à niveau ou si vous avez besoin d’aide supplémentaire, contactez le support GitHub. Pour plus d’informations, consultez la page « Création d’un ticket de support ». [Mise à jour : 14/10/2022]
Known issues
Enterprise Server 3.4.10
Download GitHub Enterprise Server 3.4.10October 25, 2022
📣 Il ne s’agit pas de la dernière version corrective de cette série de versions, et il ne s’agit pas de la dernière version d’Enterprise Server. Veuillez utiliser la dernière version pour bénéficier des dernières mises à jour de sécurité, de performances et de bogues.
ÉLEVÉE : Mise à jour des dépendances de la console de gestion vers les dernières versions correctives, qui corrigent plusieurs vulnérabilités de sécurité, notamment CVE-2022-30123 et CVE-2022-29181.
ÉLEVÉE : Ajout de vérifications pour résoudre une vulnérabilité de clé de cache incorrecte qui permettait à un acteur non autorisé d’accéder aux fichiers de dépôt privé via un dépôt public. Cette vulnérabilité porte le numéro CVE-2022-23738.
MOYENNE : Mise à jour de CommonMarker pour résoudre un scénario où les requêtes parallèles adressées à l’API REST Markdown pouvaient entraîner une épuisement des ressources non liées. Cette vulnérabilité porte le numéro CVE-2022-39209.
MOYENNE : Mise à jour de Redis vers la version 5.0.14 pour corriger les vulnérabilités CVE-2021-32672 et CVE-2021-32762.
MOYENNE : Mise à jour des exécuteurs GitHub Actions pour corriger un bogue qui permettait aux variables d’environnement dans les travaux GitHub Actions d’échapper au contexte de la variable et de modifier directement l’appel des commandes
docker
. Pour plus d’informations, consultez l’avis de sécurité pour l’exécuteur Actions.MOYENNE : Une vulnérabilité de gestion des privilèges incorrecte a été identifiée dans GitHub Enterprise Server, qui permettait aux utilisateurs disposant de privilèges inappropriés de créer ou de supprimer des pages via l’API. Pour exploiter cette vulnérabilité, un attaquant devait être ajouté au dépôt d’une organisation avec des autorisations d’écriture. Cette vulnérabilité a été signalée via le programme GitHub Bug Bounty et porte le numéro CVE-2022-23737.
FAIBLE : En raison d’une vulnérabilité de CSRF, une requête
GET
adressée au point de terminaisonsite/toggle_site_admin_and_employee_status
de l’instance pouvait changer l’état d’administrateur de site d’un utilisateur sans le savoir.Les packages ont été mis à jour avec les dernières versions de sécurité.
Security fixes
Une fois qu’un administrateur de site apportait une modification qui déclenchait une exécution de configuration, comme la désactivation de GitHub Actions, la validation des services échouait parfois avec le message
WARNING: Validation encountered a problem
.Une fois qu’un administrateur de site installait un correctif à chaud contenant des modifications aux ressources de l’interface web, comme des fichiers ou images JavaScript, l’instance ne servait pas les nouvelles ressources.
Lorsqu’un utilisateur accédait à un dépôt renommé à l’aide de Git, le nom d’hôte dans la sortie Git indiquait à tort GitHub.com au lieu du nom d’hôte de l’instance.
Le nettoyage des ressources supprimées et des ressources planifiées à vider au sein d’un dépôt, comme les fichiers LFS, prenait trop de temps.
Si un utilisateur installait une application GitHub pour le compte d’utilisateur, puis convertissait le compte en organisation, l’application ne recevait pas d’autorisations d’organisation.
Bug fixes
Pour s’assurer que les administrateurs de sites peuvent effectuer une mise à niveau, l’instance exécute désormais une vérification préliminaire pour s’assurer que la machine virtuelle répond à la configuration matérielle minimale requise. La vérification inspecte également l’intégrité d’Elasticsearch. Vous pouvez passer en revue la configuration actuelle requise pour le processeur, la mémoire et le stockage pour GitHub Enterprise Server dans la section « Configuration minimale requise » de chaque article dans « Configuration d’une instance GitHub Enterprise Server ».
Changes
Sur une instance GitHub Enterprise Server qui vient d’être configurée sans aucun utilisateur, un attaquant pourrait créer le premier utilisateur administrateur.
Les règles de pare-feu personnalisées sont supprimées pendant le processus de mise à niveau.
Les fichiers suivis Git LFS chargés via l’interface web sont ajoutés directement au dépôt de manière incorrecte.
Les problèmes ne peuvent pas être fermés s’ils contiennent un permalien vers un blob dans le même dépôt, où le chemin de fichier du blob a plus de 255 caractères.
Lorsque l’option « Les utilisateurs peuvent effectuer des recherches sur GitHub.com » est activée avec GitHub Connect, les problèmes des référentiels privés et internes ne sont pas inclus dans les résultats de recherche de GitHub.com.
Le registre npm GitHub Packages ne renvoie plus une valeur de temps dans les réponses de métadonnées. Cela a été fait pour améliorer de manière substantielles les performances. Nous disposons toujours de toutes les données nécessaires pour retourner une valeur de temps dans le cadre de la réponse aux métadonnées et nous rétablirons le retour de cette valeur une fois que nous aurons résolu les problèmes de performance existants.
Les limites de ressources propres au traitement des hooks de pré-réception peuvent entraîner l’échec de certains d’entre eux.
Après avoir enregistré un exécuteur auto-hébergé avec le paramètre
--ephemeral
à plus d’un niveau (par exemple, entreprise et organisation), l’exécuteur peut rester bloqué dans un état d’inactivité et nécessiter un nouvel enregistrement. [Mise à jour : 17/06/2022]Après la mise à niveau vers GitHub Enterprise Server 3.4, des versions peuvent sembler manquer dans les référentiels. Cela peut se produire lorsque les migrations d’index Elasticsearch requises n’ont pas été effectuées avec succès.
Dans certains cas, les clients GitHub Advanced Security qui effectuent une mise à niveau vers GitHub Enterprise Server 3.5 ou version ultérieure peuvent remarquer que les alertes de l’analyse secrète sont manquantes dans l’interface utilisateur web et l’API REST. Pour vous assurer que les alertes restent visibles, n’ignorez pas la version 3.4 lorsque vous effectuez une mise à niveau d’une version antérieure vers la version 3.5 ou ultérieure. Un correctif est disponible dans les versions de patch 3.5.5 et 3.6.1.
Pour planifier une mise à niveau via la version 3.4, consultez l’Assistant Mise à niveau. [Mise à jour : 01/09/2022]
Les mises à niveau à chaud vers GitHub Enterprise Server 3.4.9 peuvent échouer. Les mises à niveau avec le
.pkg
complet ne sont pas affectées. Si la mise à niveau échoue pour votre instance, résolvez ce problème en vous connectant à l’interpréteur de commandes d’administration (ssh) et en exécutant la commande non interactive suivante :echo "grub-pc grub-pc/install_devices_empty boolean true" | sudo debconf-set-selections
Si vous ne parvenez pas à mettre à niveau ou si vous avez besoin d’aide supplémentaire, contactez le support GitHub. Pour plus d’informations, consultez la page « Création d’un ticket de support ». [Mise à jour : 14/10/2022]
Known issues
Enterprise Server 3.4.9
Download GitHub Enterprise Server 3.4.9September 21, 2022
📣 Il ne s’agit pas de la dernière version corrective de cette série de versions, et il ne s’agit pas de la dernière version d’Enterprise Server. Veuillez utiliser la dernière version pour bénéficier des dernières mises à jour de sécurité, de performances et de bogues.
ÉLEVÉE : une application GitHub pouvait utiliser un jeton d’utilisateur à serveur délimité pour contourner la logique d’autorisation utilisateur et faire remonter les privilèges.
MOYENNE : l’utilisation d’un caractère de remplacement Unicode de droite à gauche dans la liste des fichiers accessibles pour une application GitHub pouvait masquer les fichiers supplémentaires auxquels l’application pouvait accéder.
FAIBLE : accorder à un utilisateur la possibilité de contourner les protections de branche ne permet plus à l’utilisateur de contourner l’exigence de vérification de signature.
Les packages ont été mis à jour avec les dernières versions de sécurité.
Security fixes
L’installation d’un certificat TLS échouait lorsque la chaîne d’objet du certificat comprenait des caractères UTF-8.
Les exécutions de configuration pouvaient échouer lorsque
retry-limit
ouretry-sleep-duration
étaient définis manuellement par un administrateur à l’aide deghe-config
.Dans certains cas, le tableau de bord du moniteur de la console de gestion ne se chargeait pas correctement.
Suppression d’un lien non fonctionnel pour l’exportation de graphiques de moniteur de la console de gestion en tant qu’images PNG.
La commande
ghe-find-insecure-git-operations
ne retournait pas toutes les opérations Git non sécurisées après chaque appel.Dans de rares cas, une mise à niveau de GitHub Enterprise Server 3.3 vers la version 3.4 modifiait incorrectement la façon dont les données étaient stockées, ce qui entraînerait des échecs lors des mises à niveau ultérieures. Lors de la mise à niveau directe vers cette version à partir de la version 3.3, l’échec ne se produit pas.
Lors de l’envoi d’un bundle de support au support GitHub Enterprise à l’aide de
ghe-support-upload
, l’option-t
n’associait pas correctement le bundle chargé au ticket spécifié.Un lien vers les paramètres de sécurité du compte d’entreprise de l’instance pouvait afficher une vue incorrecte.
Les clones Git ou les extractions via SSH pouvaient subir une altération des données pour les transferts d’une taille supérieure à 1 Go.
Une fois qu’un utilisateur supprimait ou restaurait des packages de l’interface web, le nombre de packages pouvait s’afficher incorrectement.
Une fois la configuration réussie des e-mails Dependabot et de synthèse des alertes, l’instance n’envoyait pas d’e-mails de synthèse.
Après la mise à niveau vers GitHub Enterprise Server 3.4, les versions semblent manquer dans les dépôts. Cela se produisait lorsque les migrations d’index Elasticsearch requises n’étaient pas été effectuées avec succès. L’interface utilisateur des mises en production indique maintenant si elle attend la fin des migrations d’index Elasticsearch, et fournit des liens vers la documentation sur l’observation de l’état et la fin immédiate de la migration.
Les workflows d’un dépôt GitHub Actions désactivés manuellement étaient réactivés si le dépôt recevait un envoi push contenant plus de 2 048 validations, ou si la branche par défaut du dépôt changeait.
Si les protections de branche étaient activées, la variable d’environnement
GITHUB_REF_PROTECTED
et les contextesgithub.ref_protected
pour les exécutions de workflow GitHub Actions étaient incorrectement définis commefalse
.Lors de l’utilisation d’une URL de point de terminaison VPC en tant qu’URL AWS S3 pour les packages GitHub, la publication et l’installation des packages échouaient.
Lors de l’ajout d’un membre à une organisation, une invitation d’essai SAML SSO erronée apparaissait.
Bug fixes
Sur une instance GitHub Enterprise Server qui vient d’être configurée sans aucun utilisateur, un attaquant pourrait créer le premier utilisateur administrateur.
Les règles de pare-feu personnalisées sont supprimées pendant le processus de mise à niveau.
Les fichiers suivis Git LFS chargés via l’interface web sont ajoutés directement au dépôt de manière incorrecte.
Les problèmes ne peuvent pas être fermés s’ils contiennent un permalien vers un blob dans le même dépôt, où le chemin de fichier du blob a plus de 255 caractères.
Lorsque l’option « Les utilisateurs peuvent effectuer des recherches sur GitHub.com » est activée avec GitHub Connect, les problèmes des référentiels privés et internes ne sont pas inclus dans les résultats de recherche de GitHub.com.
Le registre npm GitHub Packages ne renvoie plus une valeur de temps dans les réponses de métadonnées. Cela a été fait pour améliorer de manière substantielles les performances. Nous disposons toujours de toutes les données nécessaires pour retourner une valeur de temps dans le cadre de la réponse aux métadonnées et nous rétablirons le retour de cette valeur une fois que nous aurons résolu les problèmes de performance existants.
Les limites de ressources propres au traitement des hooks de pré-réception peuvent entraîner l’échec de certains d’entre eux.
Après avoir enregistré un exécuteur auto-hébergé avec le paramètre
--ephemeral
à plus d’un niveau (par exemple, entreprise et organisation), l’exécuteur peut rester bloqué dans un état d’inactivité et nécessiter un nouvel enregistrement. [Mise à jour : 17/06/2022]Après la mise à niveau vers GitHub Enterprise Server 3.4, des versions peuvent sembler manquer dans les référentiels. Cela peut se produire lorsque les migrations d’index Elasticsearch requises n’ont pas été effectuées avec succès.
Dans certains cas, les clients GitHub Advanced Security qui effectuent une mise à niveau vers GitHub Enterprise Server 3.5 ou version ultérieure peuvent remarquer que les alertes de l’analyse secrète sont manquantes dans l’interface utilisateur web et l’API REST. Pour vous assurer que les alertes restent visibles, n’ignorez pas la version 3.4 lorsque vous effectuez une mise à niveau d’une version antérieure vers la version 3.5 ou ultérieure. Un correctif est disponible dans les versions de patch 3.5.5 et 3.6.1.
Pour planifier une mise à niveau via la version 3.4, consultez l’Assistant Mise à niveau. [Mise à jour : 01/09/2022]
Les mises à niveau à chaud vers GitHub Enterprise Server 3.4.9 peuvent échouer. Les mises à niveau avec le
.pkg
complet ne sont pas affectées. Si la mise à niveau échoue pour votre instance, résolvez ce problème en vous connectant à l’interpréteur de commandes d’administration (ssh) et en exécutant la commande non interactive suivante :echo "grub-pc grub-pc/install_devices_empty boolean true" | sudo debconf-set-selections
Si vous ne parvenez pas à mettre à niveau ou si vous avez besoin d’aide supplémentaire, contactez le support GitHub. Pour plus d’informations, consultez la page « Création d’un ticket de support ». [Mise à jour : 14/10/2022]
Les builds de GitHub Pages peuvent expirer sur des instances dans AWS qui sont configurées pour la haute disponibilité. [Mise à jour : 28/11/2022]
Known issues
Enterprise Server 3.4.8
Download GitHub Enterprise Server 3.4.8Invalid Date
📣 Il ne s’agit pas de la dernière version corrective de cette série de versions, et il ne s’agit pas de la dernière version d’Enterprise Server. Veuillez utiliser la dernière version pour bénéficier des dernières mises à jour de sécurité, de performances et de bogues.
Après avoir déverrouillé un référentiel pour un accès temporaire, un administrateur de site ne pouvait pas gérer les paramètres des produits de sécurité dans le référentiel.
Des clés SSH administratives en double pouvaient apparaître à la fois dans la console de gestion et dans le fichier
/home/admin/.ssh/authorized_keys
.La page d’administration de site pour les utilisateurs individuels à
http(s)://HOSTNAME/stafftools/users/USERNAME/admin
contenait des fonctionnalités non destinées à GitHub Enterprise Server.Dans certains cas, l’exécution de
ghe-cluster-config-apply
pouvait répliquer une configuration vide aux nœuds existants d’un cluster.Dans certains cas, les exécutions de configuration démarrées avec
ghe-config-apply
ne se terminaient pas ou renvoyaient une erreurContainer count mismatch
.Après la mise à jour d’un certificat TLS auto-signé sur une instance GitHub Enterprise Server, les éléments de l’interface utilisateur de certaines pages de l’interface web n’apparaissaient pas.
Dans certains cas, les tâches d’arrière-plan pouvaient se bloquer à cause d’une bibliothèque qui était utilisée simultanément bien qu’elle ne soit pas thread-safe.
Bug fixes
La génération des packs de support est plus rapide grâce à la parallélisation de l’assainissement des journaux. Pour plus d’informations sur les bundles de support, consultez « Fournir des données au support GitHub ».
Les API qui contiennent la route
organization
ouorg
acceptent désormais le slug ou l’ID de l’organisation. Auparavant, les API n’acceptaient que les slugs, ce qui rendait inaccessibles les en-têtesLink
des points de terminaison GitHub Advanced Security. Pour plus d’informations, consultez « Organisations » dans la documentation de l’API REST.Le journal d’audit de l’entreprise inclut désormais davantage d’événements générés par les utilisateurs, comme
project.create
. L’API REST renvoie également des événements supplémentaires générés par les utilisateurs, commerepo.create
. Pour plus d’informations, consultez « Utilisation du journal d’audit pour votre entreprise » et « Utilisation de l’API de journal d’audit pour votre entreprise ».
Changes
Sur une instance GitHub Enterprise Server qui vient d’être configurée sans aucun utilisateur, un attaquant pourrait créer le premier utilisateur administrateur.
Les règles de pare-feu personnalisées sont supprimées pendant le processus de mise à niveau.
Les fichiers suivis Git LFS chargés via l’interface web sont ajoutés directement au dépôt de manière incorrecte.
Les problèmes ne peuvent pas être fermés s’ils contiennent un permalien vers un blob dans le même dépôt, où le chemin de fichier du blob a plus de 255 caractères.
Lorsque l’option « Les utilisateurs peuvent effectuer des recherches sur GitHub.com » est activée avec GitHub Connect, les problèmes des référentiels privés et internes ne sont pas inclus dans les résultats de recherche de GitHub.com.
Le registre npm GitHub Packages ne renvoie plus une valeur de temps dans les réponses de métadonnées. Cela a été fait pour améliorer de manière substantielles les performances. Nous disposons toujours de toutes les données nécessaires pour retourner une valeur de temps dans le cadre de la réponse aux métadonnées et nous rétablirons le retour de cette valeur une fois que nous aurons résolu les problèmes de performance existants.
Les limites de ressources propres au traitement des hooks de pré-réception peuvent entraîner l’échec de certains d’entre eux.
Après avoir enregistré un exécuteur auto-hébergé avec le paramètre
--ephemeral
à plus d’un niveau (par exemple, entreprise et organisation), l’exécuteur peut rester bloqué dans un état d’inactivité et nécessiter un nouvel enregistrement. [Mise à jour : 17/06/2022]Après la mise à niveau vers GitHub Enterprise Server 3.4, des versions peuvent sembler manquer dans les référentiels. Cela peut se produire lorsque les migrations d’index Elasticsearch requises n’ont pas été effectuées avec succès.
Dans certains cas, les clients GitHub Advanced Security qui effectuent une mise à niveau vers GitHub Enterprise Server 3.5 ou version ultérieure peuvent remarquer que les alertes de l’analyse secrète sont manquantes dans l’interface utilisateur web et l’API REST. Pour vous assurer que les alertes restent visibles, n’ignorez pas la version 3.4 lorsque vous effectuez une mise à niveau d’une version antérieure vers la version 3.5 ou ultérieure. Un correctif est disponible dans les versions de patch 3.5.5 et 3.6.1.
Pour planifier une mise à niveau via la version 3.4, consultez l’Assistant Mise à niveau. [Mise à jour : 01/09/2022]
Les builds de GitHub Pages peuvent expirer sur des instances dans AWS qui sont configurées pour la haute disponibilité. [Mise à jour : 28/11/2022]
Known issues
Enterprise Server 3.4.7
Download GitHub Enterprise Server 3.4.7August 11, 2022
📣 Il ne s’agit pas de la dernière version corrective de cette série de versions, et il ne s’agit pas de la dernière version d’Enterprise Server. Veuillez utiliser la dernière version pour bénéficier des dernières mises à jour de sécurité, de performances et de bogues.
CRITIQUE : Le conteneur Elasticsearch de GitHub Enterprise Server utilise une version d’OpenJDK 8, qui est vulnérable à un problème de troncature d’entier durant le traitement de feuilles de style XSLT malveillantes. La vulnérabilité fait l’objet d’un suivi dans la CVE-2022-34169.
ÉLEVÉ : Les applications installées sur des comptes d’utilisateur se voyaient automatiquement octroyer l’autorisation d’accéder à une organisation avec des jetons d’accès délimités, une fois le compte d’utilisateur transformé en compte d’organisation. Cette vulnérabilité a été signalée via le programme GitHub Bug Bounty.
Security fixes
Dans certains cas, les instances GitHub Enterprise Server sur AWS qui utilisaient le type d’instance
r4.4xlarge
ne démarraient pas.Lors du calcul des validateurs pour GitHub Advanced Security, il n’était pas possible de spécifier des référentiels individuels. Pour plus d’informations, consultez « Tableau de bord d’administration de site ».
Lorsqu’un seuil de dormance personnalisé était défini pour l’instance, la suspension de tous les utilisateurs dormants ne respectait pas le seuil de manière fiable. Pour plus d’informations sur la dormance, consultez « Gestion des utilisateurs dormants ».
Bug fixes
Sur une instance fraîchement configurée de GitHub Enterprise Server sans aucun utilisateur, un attaquant pourrait créer le premier utilisateur administrateur.
Les règles de pare-feu personnalisées sont supprimées pendant le processus de mise à niveau.
Les fichiers suivis Git LFS chargés via l’interface web sont ajoutés directement au dépôt de manière incorrecte.
Les problèmes ne peuvent pas être fermés s’ils contiennent un permalien vers un blob dans le même dépôt, où le chemin de fichier du blob a plus de 255 caractères.
Lorsque l’option « Les utilisateurs peuvent effectuer des recherches sur GitHub.com » est activée avec GitHub Connect, les problèmes des référentiels privés et internes ne sont pas inclus dans les résultats de recherche de GitHub.com.
Le registre npm GitHub Packages ne renvoie plus une valeur de temps dans les réponses de métadonnées. Cela a été fait pour améliorer de manière substantielles les performances. Nous disposons toujours de toutes les données nécessaires pour retourner une valeur de temps dans le cadre de la réponse aux métadonnées et nous rétablirons le retour de cette valeur une fois que nous aurons résolu les problèmes de performance existants.
Les limites de ressources propres au traitement des hooks de pré-réception peuvent entraîner l’échec de certains d’entre eux.
Après avoir enregistré un exécuteur auto-hébergé avec le paramètre
--ephemeral
à plus d’un niveau (par exemple, entreprise et organisation), l’exécuteur peut rester bloqué dans un état d’inactivité et nécessiter un nouvel enregistrement. [Mise à jour : 17/06/2022]Après la mise à niveau vers GitHub Enterprise Server 3.4, des versions peuvent sembler manquer dans les référentiels. Cela peut se produire lorsque les migrations d’index Elasticsearch requises n’ont pas été effectuées avec succès.
Dans certains cas, les clients GitHub Advanced Security qui effectuent une mise à niveau vers GitHub Enterprise Server 3.5 ou version ultérieure peuvent remarquer que les alertes de l’analyse secrète sont manquantes dans l’interface utilisateur web et l’API REST. Pour vous assurer que les alertes restent visibles, n’ignorez pas la version 3.4 lorsque vous effectuez une mise à niveau d’une version antérieure vers la version 3.5 ou ultérieure. Un correctif est disponible dans les versions de patch 3.5.5 et 3.6.1.
Pour planifier une mise à niveau via la version 3.4, consultez l’Assistant Mise à niveau. [Mise à jour : 01/09/2022]
Les builds de GitHub Pages peuvent expirer sur des instances dans AWS qui sont configurées pour la haute disponibilité. [Mise à jour : 28/11/2022]
Known issues
Enterprise Server 3.4.6
Download GitHub Enterprise Server 3.4.6July 21, 2022
📣 Il ne s’agit pas de la dernière version corrective de cette série de versions, et il ne s’agit pas de la dernière version d’Enterprise Server. Veuillez utiliser la dernière version pour bénéficier des dernières mises à jour de sécurité, de performances et de bogues.
MOYENNE : Empêche une attaque où une falsification de requête côté serveur (SSRF) pouvait potentiellement forcer le pont Subversion (SVN) à exécuter du code à distance en injectant des données arbitraires dans Memcached.
MOYENNE : Empêche un attaquant d’exécuter du code JavaScript en exploitant une vulnérabilité XSS (cross-site scripting) dans les éléments de l’interface utilisateur déroulante de l’interface web de GitHub Enterprise Server.
Mise à jour de Grafana vers la version 7.5.16, qui corrige diverses vulnérabilités de sécurité, notamment CVE-2020-13379 et CVE-2022-21702.
Les packages ont été mis à jour avec les dernières versions de sécurité.
MOYENNE : Une vulnérabilité XSS stockée a été identifiée dans GitHub Enterprise Server, permettant l’injection d’attributs arbitraires. Cette injection a été bloquée par la stratégie de sécurité du contenu (CSP) de Github. Cette vulnérabilité a été signalée via le programme GitHub Bug Bounty et s’est vu affecter le numéro CVE-2022-23733. [Mise à jour : 31/07/2022]
MOYENNE : une vulnérabilité impliquant la désérialisation de données non approuvées a été identifiée dans GitHub Enterprise Server, ce qui pouvait potentiellement entraîner l’exécution de code à distance sur le pont Subversion (SVN). Pour exploiter cette vulnérabilité, un attaquant devait obtenir l’accès via une falsification de requête côté serveur (SSRF), qui permettrait à un attaquant de contrôler les données en cours de désérialisation. Cette vulnérabilité a été signalée via le programme GitHub Bug Bounty et s’est vu affecter le numéro CVE-2022-23734.
Security fixes
Dans certains cas, le démon collectd pouvait consommer une quantité excessive de mémoire.
Dans certains cas, les sauvegardes des fichiers journaux en rotation pouvaient s’accumuler et consommer un excès de stockage.
Après une mise à niveau vers une nouvelle mise en production de fonctionnalité et une exécution de configuration ultérieure, Elasticsearch pouvait enregistrer des exceptions excessives lors de la reconstruction des indices.
Dans certains cas, lorsqu’une branche protégée nécessitait plus d’une révision approuvée, une demande de retrait pouvait être fusionnée avec moins que le nombre requis de révisions approuvées.
Sur les instances utilisant l’authentification LDAP, l’invite d’authentification pour le mode sudo plaçait incorrectement le curseur dans le champ du mot de passe par défaut lorsque les champs de texte pour un nom d’utilisateur et un mot de passe étaient visibles.
Dans certains cas, les workflows GitHub Actions programmés pouvaient être désactivés.
Le point de terminaison « Obtenir les validateurs actifs de GitHub Advanced Security pour une organisation » de l’API de facturation renvoie désormais les en-têtes
Link
pour fournir des informations sur la pagination.Le point de terminaison « Obtenir les validateurs actifs de GitHub Advanced Security pour une organisation » de l’API de facturation renvoie désormais le nombre correct de validateurs totaux.
Bug fixes
L’utilitaire de ligne de commande
ghe-set-password
démarre automatiquement les services requis lorsque l’instance est démarrée en mode récupération.Les métriques des processus d’arrière-plan
aqueduct
sont collectées pour le transfert Collectd et l’affichage dans la console de gestion.L’emplacement du journal d’exécution de la migration et de la configuration de la base de données,
/data/user/common/ghe-config.log
, est maintenant affiché sur la page qui détaille une migration en cours.
Changes
Sur une instance GitHub Enterprise Server qui vient d’être configurée sans aucun utilisateur, un attaquant pourrait créer le premier utilisateur administrateur.
Les règles de pare-feu personnalisées sont supprimées pendant le processus de mise à niveau.
Les fichiers suivis Git LFS chargés via l’interface web sont ajoutés directement au dépôt de manière incorrecte.
Les problèmes ne peuvent pas être fermés s’ils contiennent un permalien vers un blob dans le même dépôt, où le chemin de fichier du blob a plus de 255 caractères.
Lorsque l’option « Les utilisateurs peuvent effectuer des recherches sur GitHub.com » est activée avec GitHub Connect, les problèmes des référentiels privés et internes ne sont pas inclus dans les résultats de recherche de GitHub.com.
Le registre npm GitHub Packages ne renvoie plus une valeur de temps dans les réponses de métadonnées. Cela a été fait pour améliorer de manière substantielles les performances. Nous disposons toujours de toutes les données nécessaires pour retourner une valeur de temps dans le cadre de la réponse aux métadonnées et nous rétablirons le retour de cette valeur une fois que nous aurons résolu les problèmes de performance existants.
Les limites de ressources propres au traitement des hooks de pré-réception peuvent entraîner l’échec de certains d’entre eux.
Après avoir enregistré un exécuteur auto-hébergé avec le paramètre
--ephemeral
à plus d’un niveau (par exemple, entreprise et organisation), l’exécuteur peut rester bloqué dans un état d’inactivité et nécessiter un nouvel enregistrement. [Mise à jour : 17/06/2022]Après la mise à niveau vers GitHub Enterprise Server 3.4, des versions peuvent sembler manquer dans les référentiels. Cela peut se produire lorsque les migrations d’index Elasticsearch requises n’ont pas été effectuées avec succès.
Dans certains cas, les clients GitHub Advanced Security qui effectuent une mise à niveau vers GitHub Enterprise Server 3.5 ou version ultérieure peuvent remarquer que les alertes de l’analyse secrète sont manquantes dans l’interface utilisateur web et l’API REST. Pour vous assurer que les alertes restent visibles, n’ignorez pas la version 3.4 lorsque vous effectuez une mise à niveau d’une version antérieure vers la version 3.5 ou ultérieure. Un correctif est disponible dans les versions de patch 3.5.5 et 3.6.1.
Pour planifier une mise à niveau via la version 3.4, consultez l’Assistant Mise à niveau. [Mise à jour : 01/09/2022]
Les builds de GitHub Pages peuvent expirer sur des instances dans AWS qui sont configurées pour la haute disponibilité. [Mise à jour : 28/11/2022]
Known issues
Enterprise Server 3.4.5
Download GitHub Enterprise Server 3.4.5June 28, 2022
📣 Il ne s’agit pas de la dernière version corrective de cette série de versions, et il ne s’agit pas de la dernière version d’Enterprise Server. Veuillez utiliser la dernière version pour bénéficier des dernières mises à jour de sécurité, de performances et de bogues.
MOYENNE : Empêche une attaque où un paramètre de chaîne de requête
org
peut être spécifié pour une URL GitHub Enterprise Server, qui donne ensuite accès aux validateurs actifs d’une autre organisation.MOYENNE : S’assure que
github.company.com
etgithub-company.com
ne sont pas évalués par les services internes comme des noms d’hôte identiques, empêchant ainsi une attaque potentielle de type Server Side Request Forgery (SSRF).FAIBLE : Un attaquant pouvait accéder à la console de gestion par une attaque de traversée de chemin via HTTP, même si les règles du pare-feu externe bloquaient l’accès HTTP.
Les packages ont été mis à jour avec les dernières versions de sécurité.
Security fixes
Les fichiers à l’intérieur d’une archive d’artefact ne pouvaient pas être ouverts après décompression en raison d’autorisations restrictives.
Les expirations de Redis n’interrompent plus les migrations de bases de données lors de l’exécution de
ghe-config-apply
.Les processeurs de travaux d’arrière-plan restaient bloqués dans un état d’arrêt partiel, ce qui avait pour conséquence de bloquer certains types de travaux d’arrière-plan (comme l’analyse du code).
Dans certains cas, les administrateurs de site n’étaient pas automatiquement ajoutés en tant que propriétaires d’entreprise.
Un problème de rendu pouvait affecter la liste déroulante permettant de filtrer les alertes d’analyse des secrets dans un référentiel.
Bug fixes
Amélioration des performances des mises à jour des versions de Dependabot après leur première activation.
Les délais de génération et de synchronisation de GitHub Pages sont désormais configurables dans la console de gestion.
La création ou la mise à jour d’exécutions ou de suites de contrôles pouvait renvoyer
500 Internal Server Error
si la valeur de certains champs, comme le nom, était trop longue.Lors du déploiement de nœuds de serveur de cache, il est désormais obligatoire de décrire la topologie du centre de données (à l’aide de l’argument
--datacenter
) pour chaque nœud du système. Cette exigence permet d’éviter les situations où le fait de laisser l’appartenance à un centre de données définie sur « par défaut » entraîne une répartition inappropriée des charges de travail entre plusieurs centres de données.
Changes
Sur une instance fraîchement configurée de GitHub Enterprise Server sans aucun utilisateur, un attaquant pourrait créer le premier utilisateur administrateur.
Les règles de pare-feu personnalisées sont supprimées pendant le processus de mise à niveau.
Les fichiers suivis Git LFS chargés via l’interface web sont ajoutés directement au dépôt de manière incorrecte.
Les problèmes ne peuvent pas être fermés s’ils contiennent un permalien vers un blob dans le même dépôt, où le chemin de fichier du blob a plus de 255 caractères.
Lorsque l’option « Les utilisateurs peuvent effectuer des recherches sur GitHub.com » est activée avec GitHub Connect, les problèmes des référentiels privés et internes ne sont pas inclus dans les résultats de recherche de GitHub.com.
Le registre npm GitHub Packages ne renvoie plus une valeur de temps dans les réponses de métadonnées. Cela a été fait pour améliorer de manière substantielles les performances. Nous disposons toujours de toutes les données nécessaires pour retourner une valeur de temps dans le cadre de la réponse aux métadonnées et nous rétablirons le retour de cette valeur une fois que nous aurons résolu les problèmes de performance existants.
Les limites de ressources propres au traitement des hooks de pré-réception peuvent entraîner l’échec de certains d’entre eux.
Après avoir enregistré un exécuteur auto-hébergé avec le paramètre
--ephemeral
à plus d’un niveau (par exemple, entreprise et organisation), l’exécuteur peut rester bloqué dans un état d’inactivité et nécessiter un nouvel enregistrement.Après la mise à niveau vers GitHub Enterprise Server 3.4, des versions peuvent sembler manquer dans les référentiels. Cela peut se produire lorsque les migrations d’index Elasticsearch requises n’ont pas été effectuées avec succès.
Dans certains cas, les clients GitHub Advanced Security qui effectuent une mise à niveau vers GitHub Enterprise Server 3.5 ou version ultérieure peuvent remarquer que les alertes de l’analyse secrète sont manquantes dans l’interface utilisateur web et l’API REST. Pour vous assurer que les alertes restent visibles, n’ignorez pas la version 3.4 lorsque vous effectuez une mise à niveau d’une version antérieure vers la version 3.5 ou ultérieure. Un correctif est disponible dans les versions de patch 3.5.5 et 3.6.1.
Pour planifier une mise à niveau via la version 3.4, consultez l’Assistant Mise à niveau. [Mise à jour : 01/09/2022]
Les builds de GitHub Pages peuvent expirer sur des instances dans AWS qui sont configurées pour la haute disponibilité. [Mise à jour : 28/11/2022]
Known issues
Enterprise Server 3.4.4
Download GitHub Enterprise Server 3.4.4September 06, 2022
📣 Il ne s’agit pas de la dernière version corrective de cette série de versions, et il ne s’agit pas de la dernière version d’Enterprise Server. Veuillez utiliser la dernière version pour bénéficier des dernières mises à jour de sécurité, de performances et de bogues.
Un script interne permettant de valider les noms d’hôtes dans le fichier de configuration GitHub Enterprise Server renvoyait une erreur si la chaîne de noms d’hôtes commençait par « . » (caractère point).
Dans les configurations HA où le nom d’hôte du nœud principal comportait plus de 60 caractères, la configuration de MySQL échouait.
Lorsque GitHub Actions était activé mais que TLS était désactivé sur GitHub Enterprise Server 3.4.1 et versions ultérieures, l’application d’une mise à jour de la configuration échouait.
L’argument
--gateway
a été ajouté à la commandeghe-setup-network
, pour permettre de passer l’adresse de la passerelle lors de la configuration des paramètres réseau en utilisant la ligne de commande.Les points de terminaison de l’API de facturation GitHub Advanced Security n’étaient pas activés et accessibles.
Les pièces jointes d’images qui ont été supprimées retournent une erreur
500 Internal Server Error
au lieu de404 Not Found
.Dans les environnements configurés avec un serveur de cache de référentiel, la commande
ghe-repl-status
montrait incorrectement les gists comme étant sous-répliqués.Les points de terminaison « Obtenir une validation » et « Comparer deux validations » de l’API de validation renvoyaient une erreur
500
si le chemin d’accès d’un fichier dans le diff contenait un caractère Unicode encodé et échappé.Le calcul du « nombre maximum de validateurs sur l’ensemble de l’instance » indiqué dans le tableau de bord d’administration du site était incorrect.
Une entrée de base de données incorrecte pour les réplicas du référentiel provoquait une altération de la base de données lors de l’exécution d’une restauration à l’aide de GitHub Enterprise Server Backup Utilities.
La chronologie de l’activité des alertes d’analyse des secrets ne s’affichait pas.
Bug fixes
Optimisation de l’inclusion des métriques lors de la génération d’un pack de support de cluster.
Dans les configurations HA où Elasticsearch signalait un état jaune valide, les modifications introduites dans une correction précédente bloquaient la commande
ghe-repl-stop
et ne permettaient pas d’arrêter la réplication. L’utilisation deghe-repo-stop --force
va maintenant forcer Elasticsearch à s’arrêter lorsque le service est dans un état normal ou jaune valide.
Changes
Sur une instance GitHub Enterprise Server qui vient d’être configurée sans aucun utilisateur, un attaquant pourrait créer le premier utilisateur administrateur.
Les règles de pare-feu personnalisées sont supprimées pendant le processus de mise à niveau.
Les fichiers suivis Git LFS chargés via l’interface web sont ajoutés directement au dépôt de manière incorrecte.
Les problèmes ne peuvent pas être fermés s’ils contiennent un permalien vers un blob dans le même dépôt, où le chemin de fichier du blob a plus de 255 caractères.
Lorsque l’option « Les utilisateurs peuvent effectuer des recherches sur GitHub.com » est activée avec GitHub Connect, les problèmes des référentiels privés et internes ne sont pas inclus dans les résultats de recherche de GitHub.com.
Le registre npm GitHub Packages ne renvoie plus une valeur de temps dans les réponses de métadonnées. Cela a été fait pour améliorer de manière substantielles les performances. Nous disposons toujours de toutes les données nécessaires pour retourner une valeur de temps dans le cadre de la réponse aux métadonnées et nous rétablirons le retour de cette valeur une fois que nous aurons résolu les problèmes de performance existants.
Les limites de ressources propres au traitement des hooks de pré-réception peuvent entraîner l’échec de certains d’entre eux.
Après avoir enregistré un exécuteur auto-hébergé avec le paramètre
--ephemeral
à plus d’un niveau (par exemple, entreprise et organisation), l’exécuteur peut rester bloqué dans un état d’inactivité et nécessiter un nouvel enregistrement. [Mise à jour : 17/06/2022]Après la mise à niveau vers GitHub Enterprise Server 3.4, des versions peuvent sembler manquer dans les référentiels. Cela peut se produire lorsque les migrations d’index Elasticsearch requises n’ont pas été effectuées avec succès.
Dans certains cas, les clients GitHub Advanced Security qui effectuent une mise à niveau vers GitHub Enterprise Server 3.5 ou version ultérieure peuvent remarquer que les alertes de l’analyse secrète sont manquantes dans l’interface utilisateur web et l’API REST. Pour vous assurer que les alertes restent visibles, n’ignorez pas la version 3.4 lorsque vous effectuez une mise à niveau d’une version antérieure vers la version 3.5 ou ultérieure. Un correctif est disponible dans les versions de patch 3.5.5 et 3.6.1.
Pour planifier une mise à niveau via la version 3.4, consultez l’Assistant Mise à niveau. [Mise à jour : 01/09/2022]
Les builds de GitHub Pages peuvent expirer sur des instances dans AWS qui sont configurées pour la haute disponibilité. [Mise à jour : 28/11/2022]
Known issues
Enterprise Server 3.4.3
Download GitHub Enterprise Server 3.4.3Invalid Date
📣 Il ne s’agit pas de la dernière version corrective de cette série de versions, et il ne s’agit pas de la dernière version d’Enterprise Server. Veuillez utiliser la dernière version pour bénéficier des dernières mises à jour de sécurité, de performances et de bogues.
MOYENNE : Un problème de sécurité dans le résolveur nginx a été identifié. Un attaquant qui pouvait falsifier des paquets UDP provenant du serveur DNS pouvait provoquer l’écrasement d’un octet de mémoire, ce qui entraînait des plantages de processus de travail ou d’autres impacts potentiellement dommageables. La vulnérabilité s’est vu affecter le numéro CVE-2021-23017.
Mise à jour des actions
actions/checkout@v2
etactions/checkout@v3
pour résoudre les nouvelles vulnérabilités annoncées dans le billet de blog Git sur l’application de la sécurité.Les packages ont été mis à jour avec les dernières versions de sécurité.
Security fixes
Dans certaines topologies de clusters, la commande
ghe-cluster-status
laissait derrière elle des répertoires vides dans/tmp
.SNMP enregistrait incorrectement un nombre élevé de messages d’erreur
Cannot statfs
dans syslog.Lors de l’ajout de modèles personnalisés et de la fourniture de chaînes de test non UTF8, la mise en évidence des correspondances était incorrecte.
Les utilisateurs LDAP avec un caractère de soulignement (
_
) dans leur nom d’utilisateur peuvent maintenant se connecter avec succès.Pour les instances configurées avec l’authentification SAML et le repli intégré activé, les utilisateurs intégrés restaient bloqués dans une boucle de connexion lorsqu’ils tentaient de se connecter à partir de la page générée après la déconnexion.
Après avoir activé les assertions chiffrées SAML avec Azure comme fournisseur d’identité, la page de connexion échouait avec une erreur
500
.Les préférences de raccourci clavier des caractères n’étaient pas respectées.
Les tentatives d’affichage de la sortie
git fsck
de la page/stafftools/repositories/:owner/:repo/disk
échouaient avec500 Internal Server Error
.Lors de l’utilisation d’assertions chiffrées SAML, certaines assertions ne marquaient pas correctement les clés SSH comme vérifiées.
Les vidéos chargées pour émettre des commentaires ne s’affichaient pas correctement.
Lors de l’utilisation de GitHub Enterprise Importer pour importer un référentiel, l’importation de certains numéros échouait en raison d’événements de chronologie du projet incorrectement configurés.
Lors de l’utilisation de
ghe-migrator
, une migration ne parvenait pas à importer les pièces jointes des fichiers vidéo dans les problèmes et les demandes de tirage.La page Releases renvoyait une erreur 500 lorsque le référentiel comporte des balises contenant des caractères non ASCII. [Mise à jour : 10/06/2022]
Les mises à jour échouaient parfois lors de la migration des données du graphe des dépendances. [Mise à jour : 30/06/2022]
Bug fixes
Dans les configurations à haute disponibilité, précision du fait que la page de présentation de la réplication dans la console de gestion affiche uniquement la configuration actuelle de la réplication, et non l’état actuel de la réplication.
Le délai d’allocation de Nomad pour le graphe des dépendances a été augmenté pour assurer que les migrations post-mise à jour puissent se terminer.
Lorsque vous activez GitHub Packages, précision que l’utilisation d’un jeton de signature d’accès partagé (SAP) comme chaîne de connexion n’est pas prise en charge actuellement.
Les packs de support incluent désormais le nombre de lignes des tables stockées dans MySQL.
Lorsque nous déterminons les réseaux de référentiels sur lesquels nous devons planifier la maintenance, nous ne comptons plus la taille des objets inaccessibles.
Le champ de réponse
run_started_at
est désormais inclus dans l’API d’exécutions de workflow et la charge utile du webhook d’événementworkflow_run
.
Changes
Sur une instance GitHub Enterprise Server qui vient d’être configurée sans aucun utilisateur, un attaquant pourrait créer le premier utilisateur administrateur.
Les règles de pare-feu personnalisées sont supprimées pendant le processus de mise à niveau.
Les fichiers suivis Git LFS chargés via l’interface web sont ajoutés directement au dépôt de manière incorrecte.
Les problèmes ne peuvent pas être fermés s’ils contiennent un permalien vers un blob dans le même dépôt, où le chemin de fichier du blob a plus de 255 caractères.
Lorsque l’option « Les utilisateurs peuvent effectuer des recherches sur GitHub.com » est activée avec GitHub Connect, les problèmes des référentiels privés et internes ne sont pas inclus dans les résultats de recherche de GitHub.com.
Le registre npm GitHub Packages ne renvoie plus une valeur de temps dans les réponses de métadonnées. Cela a été fait pour améliorer de manière substantielles les performances. Nous disposons toujours de toutes les données nécessaires pour retourner une valeur de temps dans le cadre de la réponse aux métadonnées et nous rétablirons le retour de cette valeur une fois que nous aurons résolu les problèmes de performance existants.
Les limites de ressources propres au traitement des hooks de pré-réception peuvent entraîner l’échec de certains d’entre eux.
Après avoir enregistré un exécuteur auto-hébergé avec le paramètre
--ephemeral
à plus d’un niveau (par exemple, entreprise et organisation), l’exécuteur peut rester bloqué dans un état d’inactivité et nécessiter un nouvel enregistrement. [Mise à jour : 17/06/2022]Après la mise à niveau vers GitHub Enterprise Server 3.4, des versions peuvent sembler manquer dans les référentiels. Cela peut se produire lorsque les migrations d’index Elasticsearch requises n’ont pas été effectuées avec succès.
Dans certains cas, les clients GitHub Advanced Security qui effectuent une mise à niveau vers GitHub Enterprise Server 3.5 ou version ultérieure peuvent remarquer que les alertes de l’analyse secrète sont manquantes dans l’interface utilisateur web et l’API REST. Pour vous assurer que les alertes restent visibles, n’ignorez pas la version 3.4 lorsque vous effectuez une mise à niveau d’une version antérieure vers la version 3.5 ou ultérieure. Un correctif est disponible dans les versions de patch 3.5.5 et 3.6.1.
Pour planifier une mise à niveau via la version 3.4, consultez l’Assistant Mise à niveau. [Mise à jour : 01/09/2022]
Les builds de GitHub Pages peuvent expirer sur des instances dans AWS qui sont configurées pour la haute disponibilité. [Mise à jour : 28/11/2022]
Known issues
Enterprise Server 3.4.2
Download GitHub Enterprise Server 3.4.2Invalid Date
📣 Il ne s’agit pas de la dernière version corrective de cette série de versions, et il ne s’agit pas de la dernière version d’Enterprise Server. Veuillez utiliser la dernière version pour bénéficier des dernières mises à jour de sécurité, de performances et de bogues.
Résolution d’une régression qui pouvait entraîner des échecs constants dans la récupération des artefacts et le téléchargement des archives des journaux pour GitHub Actions. Dans certaines circonstances, nous cessions de résoudre les URL pour les communications internes qui utilisaient
localhost
, et utilisions de manière incorrecte le nom d’hôte de l’instance.Lorsqu’un fichier de manifeste était supprimé d’un référentiel, le manifeste n’était pas supprimé de la page « Graphe de dépendances » du référentiel.
La mise à niveau des nœuds d’une paire à haute disponibilité avec un package de mise à niveau pouvait faire entrer Elasticsearch dans un état incohérent dans certains cas.
Les fichiers journaux permutés avec l’extension
.backup
s’accumulaient dans les répertoires contenant les journaux du système.Dans certaines topologies de cluster, les utilitaires de ligne de commande
ghe-spokesctl
etghe-btop
ne pouvaient pas s’exécuter.Les indices d’Elasticsearch pouvaient être dupliqués lors d’une mise à niveau de package, en raison d’un service
elasticsearch-upgrade
s’exécutant plusieurs fois en parallèle.Les serveurs de cache du référentiel pouvaient servir des données provenant d’emplacements hors cache, même si ces données étaient disponibles dans l’emplacement du cache local.
Lors de la conversion d’un compte d’utilisateur en compte d’organisation, si le compte d’utilisateur était propriétaire du compte d’entreprise GitHub Enterprise Server, l’organisation convertie apparaissait de manière incorrecte dans la liste des propriétaires d’entreprise.
La page
/stafftools/users/ip_addresses/:address
répondait par500 Internal Server Error
lors de la tentative d’affichage de la page pour une adresse IPv6.La création d’un jeton OAuth d’emprunt d’identité à l’aide de l’API REST Administration d’entreprise entraînait une erreur quand une intégration correspondant à l’ID d’application OAuth existait déjà.
Bug fixes
Ajout de la prise en charge des noms de domaine de réplica qui comportent plus de 63 caractères.
Les erreurs de configuration qui interrompent l’exécution d’une application de configuration sont maintenant affichées dans le terminal en plus du journal de configuration.
Si les fonctionnalités de GitHub Advanced Security sont activées sur votre instance, les performances des travaux en arrière-plan ont été améliorées lors du traitement des lots pour les contributions au référentiel.
Changes
Sur une instance fraîchement configurée de GitHub Enterprise Server sans aucun utilisateur, un attaquant pourrait créer le premier utilisateur administrateur.
Les règles de pare-feu personnalisées sont supprimées pendant le processus de mise à niveau.
Les fichiers suivis Git LFS chargés via l’interface web sont ajoutés directement au dépôt de manière incorrecte.
Les problèmes ne peuvent pas être fermés s’ils contiennent un permalien vers un blob dans le même dépôt, où le chemin de fichier du blob a plus de 255 caractères.
Lorsque l’option « Les utilisateurs peuvent effectuer des recherches sur GitHub.com » est activée avec GitHub Connect, les problèmes des référentiels privés et internes ne sont pas inclus dans les résultats de recherche de GitHub.com.
Le registre npm GitHub Packages ne renvoie plus une valeur de temps dans les réponses de métadonnées. Cela a été fait pour améliorer de manière substantielles les performances. Nous disposons toujours de toutes les données nécessaires pour retourner une valeur de temps dans le cadre de la réponse aux métadonnées et nous rétablirons le retour de cette valeur une fois que nous aurons résolu les problèmes de performance existants.
Les limites de ressources propres au traitement des hooks de pré-réception peuvent entraîner l’échec de certains d’entre eux.
Après avoir enregistré un exécuteur auto-hébergé avec le paramètre
--ephemeral
à plus d’un niveau (par exemple, entreprise et organisation), l’exécuteur peut rester bloqué dans un état d’inactivité et nécessiter un nouvel enregistrement. [Mise à jour : 17/06/2022]Après la mise à niveau vers GitHub Enterprise Server 3.4, des versions peuvent sembler manquer dans les référentiels. Cela peut se produire lorsque les migrations d’index Elasticsearch requises n’ont pas été effectuées avec succès.
Dans certains cas, les clients GitHub Advanced Security qui effectuent une mise à niveau vers GitHub Enterprise Server 3.5 ou version ultérieure peuvent remarquer que les alertes de l’analyse secrète sont manquantes dans l’interface utilisateur web et l’API REST. Pour vous assurer que les alertes restent visibles, n’ignorez pas la version 3.4 lorsque vous effectuez une mise à niveau d’une version antérieure vers la version 3.5 ou ultérieure. Un correctif est disponible dans les versions de patch 3.5.5 et 3.6.1.
Pour planifier une mise à niveau via la version 3.4, consultez l’Assistant Mise à niveau. [Mise à jour : 01/09/2022]
Les builds de GitHub Pages peuvent expirer sur des instances dans AWS qui sont configurées pour la haute disponibilité. [Mise à jour : 28/11/2022]
Known issues
GitHub Enterprise Server 3.0 a été mis hors service le 16 février 2022. Cela signifie qu’aucune version de patch ne sera publiée, même pour les problèmes de sécurité critiques, après cette date. Pour bénéficier d’un meilleur niveau de performance, d’une sécurité accrue et de nouvelles fonctionnalités, mettre à niveau vers la version le plus récente de GitHub Enterprise Server dès que possible.
GitHub Enterprise Server 3.1 a été mis hors service le 3 juin 2022. Cela signifie qu’aucune version de patch ne sera publiée, même pour les problèmes de sécurité critiques, après cette date. Pour bénéficier d’un meilleur niveau de performance, d’une sécurité accrue et de nouvelles fonctionnalités, mettre à niveau vers la version le plus récente de GitHub Enterprise Server dès que possible.
Depuis GitHub Enterprise Server 3.3, GitHub Enterprise Server sur XenServer est déprécié et n’est plus pris en charge. Contactez le support GitHub pour toute question ou préoccupation.
En raison d’une faible utilisation, nous avons déprécié la préversion de l’API Références de contenu dans GitHub Enterprise Server 3.4. L’API était précédemment accessible avec l’en-tête
corsair-preview
. Les utilisateurs peuvent continuer à accéder à des URL externes sans cette API. Toutes les utilisations enregistrées de l’API Références de contenu ne recevront plus de notification par webhook pour les URL de votre ou vos domaines enregistrés, et nous ne renverrons plus de codes de réponse valides pour les tentatives de mise à jour des attachements de contenu existants.La préversion de l’API Codes de conduite, qui était accessible avec l’en-tête
scarlet-witch-preview
, est dépréciée et n’est plus accessible dans GitHub Enterprise Server 3.4. Nous vous recommandons plutôt d’utiliser le point de terminaison « Obtenir les métriques de profil de communauté » pour récupérer des informations sur le code de conduite d’un dépôt. Pour plus d’informations, consultez « Avis de dépréciation : préversion de l’API Codes de conduite » dans le journal des modifications de GitHub.À compter de GitHub Enterprise Server 3.4, la version dépréciée des points de terminaison d’API d’application OAuth est supprimée. Si vous rencontrez des messages d’erreur 404 sur ces points de terminaison, convertissez votre code dans des versions de l’API d’application OAuth qui n’ont pas
access_tokens
dans l’URL. Nous avons également désactivé l’utilisation de l’authentification de l’API avec des paramètres de requête. Nous vous recommandons plutôt d’utiliser l’authentification API dans l’en-tête de requête.L’exécuteur CodeQL est déprécié dans GitHub Enterprise Server 3.4 et n’est plus pris en charge. Cette dépréciation ne concerne que les utilisateurs qui utilisent l’analyse du code de CodeQL dans des systèmes CI/CD tiers, les utilisateurs de GitHub Actions ne sont pas concernés. Nous recommandons vivement aux clients de migrer vers l’interface CLI de CodeQL, qui remplace toutes les fonctionnalités de l’exécuteur CodeQL. Pour plus d’informations, consultez le journal des modifications de GitHub.
À partir de GitHub Enterprise Server 3.1, la prise en charge des extensions de cache binaire propriétaires de GitHub est supprimée progressivement. Ces extensions sont dépréciées dans GitHub Enterprise Server 3.3 et ultérieur.
Tous les dépôts qui étaient déjà présents et actifs sur votre instance GitHub Enterprise Server version 3.1 ou 3.2 ont été automatiquement mis à jour.
Les dépôts qui n’étaient pas présents et actifs avant la mise à niveau vers GitHub Enterprise Server 3.3 peuvent ne pas fonctionner de manière optimale tant qu’une tâche de maintenance du dépôt n’est pas correctement exécutée.
Pour lancer manuellement une tâche de maintenance de dépôt, accédez à
https://<hostname>/stafftools/repositories/<owner>/<repository>/network
pour chaque dépôt affecté et cliquez sur le bouton Planification.Le sélecteur de thème pour GitHub Pages a été supprimé des paramètres des pages. Pour plus d’informations sur la configuration de thèmes pour GitHub Pages, consultez « Ajout d’un thème à votre site GitHub Pages avec Jekyll ».
Deprecations
Dépréciation de GitHub Enterprise Server 3.0
Dépréciation de GitHub Enterprise Server 3.1
Interruption de la prise en charge de l’hyperviseur XenServer
Dépréciation de la préversion de l’API d’attachements de contenu
Interruption de la préversion de l’API Codes de conduite
Dépréciation des points de terminaison de l’API d’application OAuth et de l’authentification de l’API avec des paramètres de requête
Dépréciation de l’exécuteur CodeQL
Interruption des extensions de cache de bit personnalisées
Le sélecteur de thème pour GitHub Pages a été supprimé
GitHub Enterprise Server 3.4 nécessite au moins GitHub Enterprise Backup Utilities 3.4.0 pour les sauvegardes et la reprise d’activité.
Backups
Enterprise Server 3.4.1
Download GitHub Enterprise Server 3.4.1April 04, 2022
📣 Il ne s’agit pas de la dernière version corrective de cette série de versions, et il ne s’agit pas de la dernière version d’Enterprise Server. Veuillez utiliser la dernière version pour bénéficier des dernières mises à jour de sécurité, de performances et de bogues.
MOYENNE : Une vulnérabilité de traversée de chemin qui permettait de contourner les protections CSRF a été identifiée dans GitHub Enterprise Server Management Console. Cette vulnérabilité affectait toutes les versions de GitHub Enterprise Server antérieures à la version 3.5, et a été corrigée dans les versions 3.1.19, 3.2.11, 3.3.6 et 3.4.1. Cette vulnérabilité a été signalée via le programme GitHub dans le cadre du programme Bug Bounty et s’est vu affecter le numéro CVE-2022-23732.
MOYEN : Une vulnérabilité de dépassement d’entier a été identifiée dans la branche 1.x et la branche 2.x de
yajil
. Elle entraîne une altération de la mémoire du tas pour les entrées volumineuses (environ 2 Go). Cette vulnérabilité a été signalée en interne et s’est vu affecter le numéro CVE-2022-24795.Les packs de support pouvaient inclure des fichiers sensibles si GitHub Actions était activé.
Les packages ont été mis à jour avec les dernières versions de sécurité.
Security fixes
L’exécution d’un workflow peut ne pas se terminer s’il utilise des actions composites.
Lors de l’activation de Dependabot, une erreur faisait que certains avis de sécurité étaient temporairement lus comme n’étant plus applicables.
Les processus Minio avaient une utilisation élevée de l’UC si une ancienne option de configuration était présente après la mise à niveau de GitHub Enterprise Server.
Les options permettant d’activer
TLS 1.0
etTLS 1.1
dans les paramètres de confidentialité de la console de gestion étaient affichées alors que la suppression de ces versions de protocole avait eu lieu dans une version antérieure.Dans un environnement HA, la configuration de la réplication MSSQL pouvait nécessiter des étapes manuelles supplémentaires après avoir activé GitHub Actions pour la première fois.
Un sous-ensemble de fichiers de configuration internes est mis à jour de manière plus fiable après un correctif.
Le script
ghe-run-migrations
ne parvenait pas toujours à générer correctement les noms des certificats temporaires.Les hooks de pré-réception qui utilisaient
gpg --import
arrivaient à expiration en raison de privilègessyscall
insuffisants.Dans certaines topologies de clusters, les informations de livraison des webhooks n’étaient pas disponibles.
Le graphique de déploiement GitHub Actions affichait une erreur lors du rendu d’un travail en attente.
Les contrôles d’intégrité d’Elasticsearch n’autorisaient pas un état de cluster jaune lors de l’exécution de migrations.
Lors de l’utilisation de l’API Migrations, les travaux d’exportation mis en file d’attente n’étaient pas traités.
Les référentiels affichaient un onglet Discussions non fonctionnel dans l’interface web.
Les organisations créées à la suite de la transformation par un utilisateur de son compte d’utilisateur en un compte d’organisation n’étaient pas été ajoutées au compte d’entreprise global.
Les tâches de synchronisation des utilisateurs LDAP échouaient lorsqu’elles tentaient de synchroniser des clés GPG qui avaient été synchronisées précédemment.
Les liens vers les pages inaccessibles ont été supprimés.
Certaines instances subissaient une utilisation élevée de l’UC en raison de la mise en file d’attente d’un grand nombre de travaux d’arrière-plan inutiles.
Les référentiels vides ne se synchronisaient pas correctement avec les serveurs de cache.
L’ajout d’une équipe en tant que réviseur d’une demande de tirage pouvait parfois indiquer le nombre incorrect de membres de cette équipe.
Le point de terminaison d’API de suppression d’un membre d’équipe répondait par une erreur lors de la tentative de suppression d’un membre géré en externe via un groupe SCIM.
Un grand nombre d’utilisateurs dormants pouvait faire échouer une configuration GitHub Connect.
La page « Inscriptions de fonctionnalités & bêta » dans l’interface web d’administration du site était incorrectement disponible.
Le lien « Mode Administrateur du site » dans le pied de page du site ne changeait pas d’état quand on cliquait dessus.
Une exportation à partir de GitHub.com ou avec
ghe-migrator
n’incluait pas les pièces jointes des demandes de tirage.
Bug fixes
Les limites de connexion de Memcached ont été augmentées pour mieux s’adapter aux topologies des grands clusters.
L’API du graphe des dépendances fonctionnait auparavant avec un port défini de manière statique.
Le nombre de partitions par défaut pour les paramètres de partitionnement d’Elasticsearch liés aux clusters a été mis à jour.
L’API Migrations génère désormais des exportations de dépôts.
Lors du filtrage des membres d’entreprise par rôle d’organisation sur la page « Personnes », le texte des éléments du menu déroulant a été amélioré.
Les rôles des équipes « Triage » et « Maintain » sont préservés lors des migrations de référentiels.
Les performances ont été améliorées pour les requêtes web effectuées par les propriétaires d’entreprise.
Changes
Sur une instance fraîchement configurée de GitHub Enterprise Server sans aucun utilisateur, un attaquant pourrait créer le premier utilisateur administrateur.
Les règles de pare-feu personnalisées sont supprimées pendant le processus de mise à niveau.
Les fichiers suivis Git LFS chargés via l’interface web sont ajoutés directement au dépôt de manière incorrecte.
Les problèmes ne peuvent pas être fermés s’ils contiennent un permalien vers un blob dans le même dépôt, où le chemin de fichier du blob a plus de 255 caractères.
Lorsque l’option « Les utilisateurs peuvent effectuer des recherches sur GitHub.com » est activée avec GitHub Connect, les problèmes des référentiels privés et internes ne sont pas inclus dans les résultats de recherche de GitHub.com.
Le registre npm GitHub Packages ne renvoie plus une valeur de temps dans les réponses de métadonnées. Cela a été fait pour améliorer de manière substantielles les performances. Nous disposons toujours de toutes les données nécessaires pour retourner une valeur de temps dans le cadre de la réponse aux métadonnées et nous rétablirons le retour de cette valeur une fois que nous aurons résolu les problèmes de performance existants.
Les limites de ressources propres au traitement des hooks de pré-réception peuvent entraîner l’échec de certains d’entre eux.
Après avoir enregistré un exécuteur auto-hébergé avec le paramètre
--ephemeral
à plus d’un niveau (par exemple, entreprise et organisation), l’exécuteur peut rester bloqué dans un état d’inactivité et nécessiter un nouvel enregistrement. [Mise à jour : 17/06/2022]Lors de l’utilisation d’assertions chiffrées SAML avec GitHub Enterprise Server 3.4.0 et 3.4.1, un nouvel attribut XML
WantAssertionsEncrypted
dansSPSSODescriptor
contenait un attribut non valide pour les métadonnées SAML. Les IdP qui utilisent ce point de terminaison de métadonnées SAML peuvent rencontrer des erreurs lors de la validation du schéma XML des métadonnées SAML. Un correctif sera disponible dans la prochaine version du patch. [Mise à jour : 11/04/2022]Pour contourner ce problème, vous pouvez prendre l’une des deux mesures suivantes.
- Reconfigurez l’IdP en chargeant une copie statique des métadonnées SAML sans l’attribut
WantAssertionsEncrypted
. - Copiez les métadonnées SAML, supprimez l’attribut
WantAssertionsEncrypted
, hébergez-les sur un serveur web et reconfigurez l’IdP pour qu’il pointe vers cette URL.
- Reconfigurez l’IdP en chargeant une copie statique des métadonnées SAML sans l’attribut
Dans certains cas, les clients GitHub Advanced Security qui effectuent une mise à niveau vers GitHub Enterprise Server 3.5 ou version ultérieure peuvent remarquer que les alertes de l’analyse secrète sont manquantes dans l’interface utilisateur web et l’API REST. Pour vous assurer que les alertes restent visibles, n’ignorez pas la version 3.4 lorsque vous effectuez une mise à niveau d’une version antérieure vers la version 3.5 ou ultérieure. Un correctif est disponible dans les versions de patch 3.5.5 et 3.6.1.
Pour planifier une mise à niveau via la version 3.4, consultez l’Assistant Mise à niveau. [Mise à jour : 01/09/2022]
Les builds de GitHub Pages peuvent expirer sur des instances dans AWS qui sont configurées pour la haute disponibilité. [Mise à jour : 28/11/2022]
Known issues
GitHub Enterprise Server 3.0 a été mis hors service le 16 février 2022. Cela signifie qu’aucune version de patch ne sera publiée, même pour les problèmes de sécurité critiques, après cette date. Pour bénéficier d’un meilleur niveau de performance, d’une sécurité accrue et de nouvelles fonctionnalités, mettre à niveau vers la version le plus récente de GitHub Enterprise Server dès que possible.
GitHub Enterprise Server 3.1 a été mis hors service le 3 juin 2022. Cela signifie qu’aucune version de patch ne sera publiée, même pour les problèmes de sécurité critiques, après cette date. Pour obtenir de meilleures performances, une sécurité améliorée et de nouvelles fonctionnalités, effectuez une mise à niveau vers la version la plus récente de GitHub Enterprise Server dès que possible.
Depuis GitHub Enterprise Server 3.3, GitHub Enterprise Server sur XenServer est déprécié et n’est plus pris en charge. Contactez le support GitHub pour toute question ou préoccupation.
En raison d’une faible utilisation, nous avons déprécié la préversion de l’API Références de contenu dans GitHub Enterprise Server 3.4. L’API était précédemment accessible avec l’en-tête
corsair-preview
. Les utilisateurs peuvent continuer à accéder à des URL externes sans cette API. Toutes les utilisations enregistrées de l’API Références de contenu ne recevront plus de notification par webhook pour les URL de votre ou vos domaines enregistrés, et nous ne renverrons plus de codes de réponse valides pour les tentatives de mise à jour des attachements de contenu existants.La préversion de l’API Codes de conduite, qui était accessible avec l’en-tête
scarlet-witch-preview
, est dépréciée et n’est plus accessible dans GitHub Enterprise Server 3.4. Nous vous recommandons plutôt d’utiliser le point de terminaison « Obtenir les métriques de profil de communauté » pour récupérer des informations sur le code de conduite d’un dépôt. Pour plus d’informations, consultez « Avis de dépréciation : préversion de l’API Codes de conduite » dans le journal des modifications de GitHub.À compter de GitHub Enterprise Server 3.4, la version dépréciée des points de terminaison d’API d’application OAuth est supprimée. Si vous rencontrez des messages d’erreur 404 sur ces points de terminaison, convertissez votre code dans des versions de l’API d’application OAuth qui n’ont pas
access_tokens
dans l’URL. Nous avons également désactivé l’utilisation de l’authentification de l’API avec des paramètres de requête. Nous vous recommandons plutôt d’utiliser l’authentification API dans l’en-tête de requête.L’exécuteur CodeQL est déprécié dans GitHub Enterprise Server 3.4 et n’est plus pris en charge. Cette dépréciation ne concerne que les utilisateurs qui utilisent l’analyse du code de CodeQL dans des systèmes CI/CD tiers, les utilisateurs de GitHub Actions ne sont pas concernés. Nous recommandons vivement aux clients de migrer vers l’interface CLI de CodeQL, qui remplace toutes les fonctionnalités de l’exécuteur CodeQL. Pour plus d’informations, consultez le journal des modifications de GitHub.
À partir de GitHub Enterprise Server 3.1, la prise en charge des extensions de cache binaire propriétaires de GitHub est supprimée progressivement. Ces extensions sont dépréciées dans GitHub Enterprise Server 3.3 et ultérieur.
Tous les dépôts qui étaient déjà présents et actifs sur votre instance GitHub Enterprise Server version 3.1 ou 3.2 ont été automatiquement mis à jour.
Les dépôts qui n’étaient pas présents et actifs avant la mise à niveau vers GitHub Enterprise Server 3.3 peuvent ne pas fonctionner de manière optimale tant qu’une tâche de maintenance du dépôt n’est pas correctement exécutée.
Pour lancer manuellement une tâche de maintenance de dépôt, accédez à
https://<hostname>/stafftools/repositories/<owner>/<repository>/network
pour chaque dépôt affecté et cliquez sur le bouton Planification.
Deprecations
Dépréciation de GitHub Enterprise Server 3.0
Dépréciation de GitHub Enterprise Server 3.1
Interruption de la prise en charge de l’hyperviseur XenServer
Dépréciation de la préversion de l’API d’attachements de contenu
Interruption de la préversion de l’API Codes de conduite
Dépréciation des points de terminaison de l’API d’application OAuth et de l’authentification de l’API avec des paramètres de requête
Dépréciation de l’exécuteur CodeQL
Interruption des extensions de cache de bit personnalisées
GitHub Enterprise Server 3.4 nécessite au moins GitHub Enterprise Backup Utilities 3.4.0 pour les sauvegardes et la reprise d’activité.
Backups
Enterprise Server 3.4.0
Download GitHub Enterprise Server 3.4.0March 15, 2022
📣 Il ne s’agit pas de la dernière version corrective de cette série de versions, et il ne s’agit pas de la dernière version d’Enterprise Server. Veuillez utiliser la dernière version pour bénéficier des dernières mises à jour de sécurité, de performances et de bogues.
Pour des instructions de mise à niveau, consultez « Mise à niveau de GitHub Enterprise Server ».
Cette mise en production est dédiée à notre collègue et ami John, Hubber toujours prêt à aider. Vous allez beaucoup nous manquer.
John "Ralph" Wiebalk 1986–2021
GitHub Advanced Security customers can now use the REST API to retrieve commit details of secrets detected in private repository scans. The new endpoint returns details of a secret's first detection within a file, including the secret's location and commit SHA. For more information, see "Secret scanning" in the REST API documentation.
Enterprise and organization owners can now export their GitHub Advanced Security license usage data to a CSV file. The Advanced Security billing data can also be retrieved via billing endpoints in the REST API. For more information, see the "GitHub changelog."
You can now reuse entire workflows as if they were an action. This feature is available in public beta. Instead of copying and pasting workflow definitions across repositories, you can now reference an existing workflow with a single line of configuration. For more information, see the "GitHub changelog."
Dependabot is now available in GitHub Enterprise Server 3.4 as a public beta, offering both version updates and security updates for several popular ecosystems. Dependabot on GitHub Enterprise Server requires GitHub Actions and a pool of self-hosted runners configured for Dependabot use. Dependabot on GitHub Enterprise Server also requires GitHub Connect and Dependabot to be enabled by an administrator. Beta feedback and suggestions can be shared in the Dependabot Feedback GitHub discussion. For more information and to try the beta, see "Setting up Dependabot security and version updates on your enterprise."
If you use SAML authentication for GitHub Enterprise Server, you can now configure encrypted assertions from your IdP to improve security. Encrypted assertions add an additional layer of encryption when your IdP transmits information to votre instance GitHub Enterprise Server. For more information, see "Using SAML."
In GitHub Mobile for iOS 1.80.0 and later, users can now edit files within a pull request's topic branch. Support for editing files will come to GitHub Mobile for Android in a future release. [Updated: 2022-09-13]
Features
Secret scanning REST API now returns locations
Export license data of committer-based billing for GitHub Advanced Security
GitHub Actions reusable workflows in public beta
Dependabot security and version updates in public beta
SAML authentication supports encrypted assertions
Edit files within pull requests in GitHub Mobile for iOS
Users can now choose the number of spaces a tab is equal to, by setting their preferred tab size in the "Appearance" settings of their user account. All code with a tab indent will render using the preferred tab size.
The GitHub Connect data connection record now includes a count of the number of active and dormant users and the configured dormancy period.
You can now give users access to enterprise-specific links by adding custom footers to GitHub Enterprise Server. For more information, see "Configuring custom footers."
WireGuard, used to secure communication between GitHub Enterprise Server instances in a High Availability configuration, has been migrated to the Kernel implementation.
Organization owners can now unsubscribe from email notifications when new deploy keys are added to repositories belonging to their organizations. For more information, see "Configuring notifications."
Notification emails from newly created issues and pull requests now include
(Issue #xx)
or(PR #xx)
in the email subject, so you can recognize and filter emails that reference these types of issues.Organizations can now display a
README.md
file on their profile Overview. For more information, see the "GitHub changelog."Members of organizations can now view a list of their enterprise owners under the organization's "People" tab. The enterprise owners list is also now accessible using the GraphQL API. For more information, see the "
enterpriseOwners
" field under the Organization object in the GraphQL API documentation.A "Manage Access" section is now shown on the "Collaborators and teams" page in your repository settings. The new section makes it easier for repository administrators to see and manage who has access to their repository, and the level of access granted to each user. Administrators can now:
- Search all members, teams and collaborators who have access to the repository.
- View when members have mixed role assignments, granted to them directly as individuals or indirectly via a team. This is visualized through a new "mixed roles" warning, which displays the highest level role the user is granted if their permission level is higher than their assigned role.
- Manage access to popular repositories reliably, with page pagination and fewer timeouts when large groups of users have access.
GitHub Enterprise Server 3.4 includes improvements to the repository invitation experience, such as notifications for private repository invites, a UI prompt when visiting a private repository you have a pending invitation for, and a banner on a public repository overview page when there is an pending invitation.
You can now use single-character prefixes for custom autolinks. Autolink prefixes also now allow
.
,-
,_
,+
,=
,:
,/
, and#
characters, as well as alphanumerics. For more information about custom autolinks, see "Configuring autolinks to reference external resources."A
CODE_OF_CONDUCT.md
file in the root of a repository is now highlighted in the "About" sidebar on the repository overview page.GitHub Enterprise Server 3.4 includes improvements to the Releases UI, such as automatically generated release notes which display a summary of all the pull requests for a given release. For more information, see the "GitHub changelog."
When a release is published, an avatar list is now displayed at the bottom of the release. Avatars for all user accounts mentioned in the release notes are shown. For more information, see "Managing releases in a repository."
You can now use the new "Accessibility" settings page to manage your keyboard shortcuts. You can choose to disable keyboard shortcuts that only use single characters like S, G C, and . (the period key). For more information, see the "GitHub changelog."
You can now choose to use a fixed-width font in Markdown-enabled fields, like issue comments and pull request descriptions. For more information, see the "GitHub changelog."
You can now paste a URL on selected text to quickly create a Markdown link. This works in all Markdown-enabled fields, such as issue comments and pull request descriptions. For more information, see the "GitHub changelog."
An image URL can now be appended with a theme context, such as
#gh-dark-mode-only
, to define how the Markdown image is displayed to a viewer. For more information, see the "GitHub changelog."When creating or editing a gist file with the Markdown (
.md
) file extension, you can now use the "Preview" or "Preview Changes" tab to display a Markdown rendering of the file contents. For more information, see the "GitHub changelog."When typing the name of a GitHub user in issues, pull requests and discussions, the @mention suggester now ranks existing participants higher than other GitHub users, so that it's more likely the user you're looking for will be listed.
Right-to-left languages are now supported natively in Markdown files, issues, pull requests, discussions, and comments.
The diff setting to hide whitespace changes in the pull request "Files changed" tab is now retained for your user account for that pull request. The setting you have chosen is automatically reapplied if you navigate away from the page and then revisit the "Files changed" tab of the same pull request.
When using auto assignment for pull request code reviews, you can now choose to only notify requested team members independently of your auto assignment settings. This setting is useful in scenarios where many users are auto assigned but not all users require notification. For more information, see the "GitHub changelog."
Organization and repository administrators can now trigger webhooks to listen for changes to branch protection rules on their repositories. For more information, see the "branch_protection_rule" event in the webhooks events and payloads documentation.
When configuring protected branches, you can now enforce that a required status check is provided by a specific GitHub App. If a status is then provided by a different application, or by a user via a commit status, merging is prevented. This ensures all changes are validated by the intended application. For more information, see the "GitHub changelog."
Only users with administrator permissions are now able to rename protected branches and modify branch protection rules. Previously, with the exception of the default branch, a collaborator could rename a branch and consequently any non-wildcard branch protection rules that applied to that branch were also renamed. For more information, see "Renaming a branch" and "Managing a branch protection rule."
Administrators can now allow only specific users and teams to bypass pull request requirements. For more information, see the "GitHub changelog."
Administrators can now allow only specific users and teams to force push to a repository. For more information, see the "GitHub changelog."
When requiring pull requests for all changes to a protected branch, administrators can now choose if approved reviews are also a requirement. For more information, see the "GitHub changelog."
GitHub Actions workflows triggered by Dependabot for the
create
,deployment
, anddeployment_status
events now always receive a read-only token and no secrets. Similarly, workflows triggered by Dependabot for thepull_request_target
event on pull requests where the base ref was created by Dependabot, now always receive a read-only token and no secrets. These changes are designed to prevent potentially malicious code from executing in a privileged workflow. For more information, see "Automating Dependabot with GitHub Actions."Workflow runs on
push
andpull_request
events triggered by Dependabot will now respect the permissions specified in your workflows, allowing you to control how you manage automatic dependency updates. The default token permissions will remain read-only. For more information, see the "GitHub changelog."GitHub Actions workflows triggered by Dependabot will now be sent the Dependabot secrets. You can now pull from private package registries in your CI using the same secrets you have configured for Dependabot to use, improving how GitHub Actions and Dependabot work together. For more information, see "Automating Dependabot with GitHub Actions."
You can now manage runner groups and see the status of your self-hosted runners using new Runners and Runner Groups pages in the UI. The Actions settings page for your repository or organization now shows a summary view of your runners, and allows you to deep dive into a specific runner to edit it or see what job it may be currently running. For more information, see the "GitHub changelog."
Actions authors can now have their action run in Node.js 16 by specifying
runs.using
asnode16
in the action'saction.yml
. This is in addition to the existing Node.js 12 support; actions can continue to specifyruns.using: node12
to use the Node.js 12 runtime.For manually triggered workflows, GitHub Actions now supports the
choice
,boolean
, andenvironment
input types in addition to the defaultstring
type. For more information, see "on.workflow_dispatch.inputs
."Actions written in YAML, also known as composite actions, now support
if
conditionals. This lets you prevent specific steps from executing unless a condition has been met. Like steps defined in workflows, you can use any supported context and expression to create a conditional.The search order behavior for self-hosted runners has now changed, so that the first available matching runner at any level will run the job in all cases. This allows jobs to be sent to self-hosted runners much faster, especially for organizations and enterprises with lots of self-hosted runners. Previously, when running a job that required a self-hosted runner, GitHub Actions would look for self-hosted runners in the repository, organization, and enterprise, in that order.
Runner labels for GitHub Actions self-hosted runners can now be listed, added and removed using the REST API. For more information about using the new APIs at a repository, organization, or enterprise level, see "Repositories", "Organizations", and "Enterprises" in the REST API documentation.
Dependency graph now supports detecting Python dependencies in repositories that use the Poetry package manager. Dependencies will be detected from both
pyproject.toml
andpoetry.lock
manifest files.When configuring Dependabot security and version updates on GitHub Enterprise Server, we recommend you also enable Dependabot in GitHub Connect. This will allow Dependabot to retrieve an updated list of dependencies and vulnerabilities from GitHub.com, by querying for information such as the changelogs of the public releases of open source code that you depend upon. For more information, see "Enabling the dependency graph and Dependabot alerts for your enterprise."
Dependabot alerts alerts can now be dismissed using the GraphQL API. For more information, see the "dismissRepositoryVulnerabilityAlert" mutation in the GraphQL API documentation.
The CodeQL CLI now supports including markdown-rendered query help in SARIF files, so that the help text can be viewed in the code scanning UI when the query generates an alert. For more information, see the "GitHub changelog."
The CodeQL CLI and Visual Studio Code extension now support building databases and analyzing code on machines powered by Apple Silicon, such as Apple M1. For more information, see the "GitHub changelog."
The depth of CodeQL's analysis has been improved by adding support for more libraries and frameworks from the Python ecosystem. As a result, CodeQL can now detect even more potential sources of untrusted user data, steps through which that data flows, and potentially dangerous sinks where the data could end up. This results in an overall improvement of the quality of code scanning alerts. For more information, see the "GitHub changelog."
Code scanning with CodeQL now includes beta support for analyzing code in all common Ruby versions, up to and including 3.02. For more information, see the "GitHub changelog."
Several improvements have been made to the code scanning API:
- The
fixed_at
timestamp has been added to alerts. This timestamp is the first time that the alert was not detected in an analysis. - Alert results can now be sorted using
sort
anddirection
on eithercreated
,updated
ornumber
. For more information, see "List code scanning alerts for a repository." - A
Last-Modified
header has been added to the alerts and alert endpoint response. For more information, seeLast-Modified
in the Mozilla documentation. - The
relatedLocations
field has been added to the SARIF response when you request a code scanning analysis. The field may contain locations which are not the primary location of the alert. See an example in the SARIF spec and for more information see "Get a code scanning analysis for a repository." - Both
help
andtags
data have been added to the webhook response alert rule object. For more information, see "Code scanning alert webhooks events and payloads." - Personal access tokens with the
public_repo
scope now have write access for code scanning endpoints on public repos, if the user has permission.
For more information, see "Code scanning" in the REST API documentation.
- The
GitHub Advanced Security customers can now use the REST API to retrieve private repository secret scanning results at the enterprise level. The new endpoint supplements the existing repository-level and organization-level endpoints. For more information, see "Secret scanning" in the REST API documentation.
Support for GitHub Mobile is now enabled by default for new GitHub Enterprise Server instances. If you have not explicitly disabled or enabled GitHub Mobile, GitHub Mobile will be enabled when you upgrade to GitHub Enterprise Server 3.4.0 or later. If you previously disabled or enabled GitHub Mobile for your instance, your preference will be preserved upon upgrade. For more information, see "Managing GitHub Mobile for your enterprise."
Changes
Administration Changes
Performance Changes
Notification Changes
Organization Changes
Repositories changes
Releases changes
Markdown changes
Issues and pull requests changes
Branches changes
GitHub Actions changes
Dependabot and Dependency graph changes
Code scanning and secret scanning changes
Mobile changes
On a freshly set up GitHub Enterprise Server instance without any users, an attacker could create the first admin user.
Custom firewall rules are removed during the upgrade process.
Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.
Issues cannot be closed if they contain a permalink to a blob in the same repository, where the blob's file path is longer than 255 characters.
When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.
The GitHub Packages npm registry no longer returns a time value in metadata responses. This was done to allow for substantial performance improvements. We continue to have all the data necessary to return a time value as part of the metadata response and will resume returning this value in the future once we have solved the existing performance issues.
Resource limits that are specific to processing pre-receive hooks may cause some pre-receive hooks to fail.
Actions services needs to be restarted after restoring appliance from backup taken on a different host.
After registering a self-hosted runner with the
--ephemeral
parameter on more than one level (for example, both enterprise and organization), the runner may get stuck in an idle state and require re-registration. [Updated: 2022-06-17]When using SAML encrypted assertions with GitHub Enterprise Server 3.4.0 and 3.4.1, a new XML attribute
WantAssertionsEncrypted
in theSPSSODescriptor
contains an invalid attribute for SAML metadata. IdPs that consume this SAML metadata endpoint may encounter errors when validating the SAML metadata XML schema. A fix will be available in the next patch release. [Updated: 2022-04-11]To work around this problem, you can take one of the two following actions.
- Reconfigure the IdP by uploading a static copy of the SAML metadata without the
WantAssertionsEncrypted
attribute. - Copy the SAML metadata, remove
WantAssertionsEncrypted
attribute, host it on a web server, and reconfigure the IdP to point to that URL.
- Reconfigure the IdP by uploading a static copy of the SAML metadata without the
Dans certains cas, les clients GitHub Advanced Security qui effectuent une mise à niveau vers GitHub Enterprise Server 3.5 ou version ultérieure peuvent remarquer que les alertes de l’analyse secrète sont manquantes dans l’interface utilisateur web et l’API REST. Pour vous assurer que les alertes restent visibles, n’ignorez pas la version 3.4 lorsque vous effectuez une mise à niveau d’une version antérieure vers la version 3.5 ou ultérieure. Un correctif est disponible dans les versions de patch 3.5.5 et 3.6.1.
Pour planifier une mise à niveau via la version 3.4, consultez l’Assistant Mise à niveau. [Mise à jour : 01/09/2022]
GitHub Pages builds may time out on instances in AWS that are configured for high availability. [Updated: 2022-11-28]
Known issues
GitHub Enterprise Server 3.0 was discontinued on February 16, 2022. This means that no patch releases will be made, even for critical security issues, after this date. For better performance, improved security, and new features, upgrade to the newest version of GitHub Enterprise Server as soon as possible.
GitHub Enterprise Server 3.1 will be discontinued on June 3, 2022. This means that no patch releases will be made, even for critical security issues, after this date. For better performance, improved security, and new features, upgrade to the newest version of GitHub Enterprise Server as soon as possible.
Starting in GitHub Enterprise Server 3.3, GitHub Enterprise Server on XenServer was deprecated and is no longer supported. Please contact GitHub Support with questions or concerns.
Due to low usage, we have deprecated the Content References API preview in GitHub Enterprise Server 3.4. The API was previously accessible with the
corsair-preview
header. Users can continue to navigate to external URLs without this API. Any registered usages of the Content References API will no longer receive a webhook notification for URLs from your registered domain(s) and we no longer return valid response codes for attempted updates to existing content attachments.The Codes of Conduct API preview, which was accessible with the
scarlet-witch-preview
header, is deprecated and no longer accessible in GitHub Enterprise Server 3.4. We instead recommend using the "Get community profile metrics" endpoint to retrieve information about a repository's code of conduct. For more information, see the "Deprecation Notice: Codes of Conduct API preview" in the GitHub changelog.Starting with GitHub Enterprise Server 3.4, the deprecated version of the OAuth Application API endpoints have been removed. If you encounter 404 error messages on these endpoints, convert your code to the versions of the OAuth Application API that do not have
access_tokens
in the URL. We've also disabled the use of API authentication using query parameters. We instead recommend using API authentication in the request header.The CodeQL runner is deprecated in GitHub Enterprise Server 3.4 and is no longer supported. The deprecation only affects users who use CodeQL code scanning in third party CI/CD systems; GitHub Actions users are not affected. We strongly recommend that customers migrate to the CodeQL CLI, which is a feature-complete replacement for the CodeQL runner. For more information, see the GitHub changelog.
Starting in GitHub Enterprise Server 3.1, support for GitHub's proprietary bit-cache extensions began to be phased out. These extensions are deprecated in GitHub Enterprise Server 3.3 onwards.
Any repositories that were already present and active on votre instance GitHub Enterprise Server running version 3.1 or 3.2 will have been automatically updated.
Repositories which were not present and active before upgrading to GitHub Enterprise Server 3.3 may not perform optimally until a repository maintenance task is run and has successfully completed.
To start a repository maintenance task manually, browse to
https://<hostname>/stafftools/repositories/<owner>/<repository>/network
for each affected repository and click the Schedule button.GitHub Connect will no longer work after June 3rd for instances running GitHub Enterprise Server 3.1 or older, due to the format of GitHub authentication tokens changing. For more information, see the GitHub changelog. [Updated: 2022-06-14]
Deprecations
Deprecation of GitHub Enterprise Server 3.0
Deprecation of GitHub Enterprise Server 3.1
Deprecation of XenServer Hypervisor support
Deprecation of the Content Attachments API preview
Deprecation of the Codes of Conduct API preview
Deprecation of OAuth Application API endpoints and API authentication using query parameters
Deprecation of the CodeQL runner
Deprecation of custom bit-cache extensions
Change to the format of authentication tokens affects GitHub Connect
GitHub Enterprise Server 3.4 requires at least GitHub Enterprise Backup Utilities 3.4.0 for Backups and Disaster Recovery.