Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Esta versão do GitHub Enterprise será descontinuada em 2021-06-09. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, melhorar a segurança e novos recursos, upgrade to the latest version of GitHub Enterprise. Para ajuda com a atualização, contact GitHub Enterprise support.

2.20

2.21 Release notes

2.22

Enterprise Server 2.21.20

Download

April 28, 2021

📣 This is not the latest release of Enterprise Server. Please use the latest release for the latest security, performance, and bug fixes.

  • Packages have been updated to the latest security versions.

  • Setup script running on MySQL replication may have caused unnecessary database reseeding during database failover.

  • config-apply could take longer than necessary due to rake db:migrate being called unnecessarily.

  • Orchestrator could have failed over to a MySQL replica which was not replicating from primary during seeding phase when primary could not be connected.

  • Organizations or projects with errors blocked migration and could not be excluded.

  • Preflight checks allow all AWS instance types by default.

  • On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.

  • Custom firewall rules are not maintained during an upgrade.

  • Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.

  • Issues cannot be closed if they contain a permalink to a blob in the same repository where the file path is longer than 255 characters.

  • When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.

  • Security alerts are not reported when pushing to a repository on the command line.

Enterprise Server 2.21.19

Download

April 14, 2021

📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. Please use the latest release for the latest security, performance, and bug fixes.

  • Packages have been updated to the latest security versions.

  • A warning message jq: error (at <stdin>:0): Cannot index number with string "settings" could occur during replica promotion.

  • Visiting the /settings/emails page would store state that could cause improper redirects when logging out and logging back in.

  • Dependency graph alerts weren't shown for some components whose advisories have upper case package names in vulnerable_version_ranges.

  • User saw 500 error when executing git operations on an instance configured with LDAP authentication.

  • When ghe-migrator encountered import errors, it would sometimes abort the entire process, and the logs did not include enough context.

  • On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.

  • Custom firewall rules are not maintained during an upgrade.

  • Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.

  • Issues cannot be closed if they contain a permalink to a blob in the same repository where the file path is longer than 255 characters.

  • When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.

  • Security alerts are not reported when pushing to a repository on the command line.

Enterprise Server 2.21.18

Download

April 01, 2021

📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. Please use the latest release for the latest security, performance, and bug fixes.

  • HIGH: An improper access control vulnerability was identified in GitHub Enterprise Server that allowed access tokens generated from a GitHub App's web authentication flow to read private repository metadata via the REST API without having been granted the appropriate permissions. To exploit this vulnerability, an attacker would need to create a GitHub App on the instance and have a user authorize the application through the web authentication flow. The private repository metadata returned would be limited to repositories owned by the user the token identifies. This vulnerability affected all versions of GitHub Enterprise Server prior to 3.0.4 and was fixed in versions 3.0.4, 2.22.10, 2.21.18. This vulnerability has been assigned CVE-2021-22865 and was reported via the GitHub Bug Bounty Program.

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • Services were not transitioning to new log files as part of log rotation, resulting in increased disk usage.

  • The label on search results for internal repositories was shown as "Private" instead of "Internal".

  • On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.

  • As regras personalizadas de firewall não são mantidas durante uma atualização.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Issues cannot be closed if they contain a permalink to a blob in the same repository where the file path is longer than 255 characters.

  • Quando "Usuários podem pesquisar pelo GitHub.com" está habilitado com o GitHub Connect, os problemas em repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer push em um repositório na linha de comando.

Enterprise Server 2.21.17

Download

March 23, 2021

📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. Please use the latest release for the latest security, performance, and bug fixes.

Downloads have been disabled due to a major bug affecting multiple customers. A fix will be available in the next patch.

  • HIGH: A remote code execution vulnerability was identified in GitHub Enterprise Server that could be exploited when building a GitHub Pages site. User-controlled configuration options used by GitHub Pages were not sufficiently restricted and made it possible to override environment variables leading to code execution on the GitHub Enterprise Server instance. To exploit this vulnerability, an attacker would need permission to create and build a GitHub Pages site on the GitHub Enterprise Server instance. This vulnerability affected all versions of GitHub Enterprise Server prior to 3.0.3 and was fixed in 3.0.3, 2.22.9, and 2.21.17. This vulnerability was reported via the GitHub Bug Bounty program and has been assigned CVE-2021-22864.

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • The ghe-cluster-config-init run was not fully accounting for the exit code of background jobs leading to improper handling of preflight checks.

  • Logs will rotate based on size in addition to time.

  • Use a relative number for consul and nomad bootstrap_expect allowing for a cluster to bootstrap even if a handful of nodes are down.

  • On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.

  • As regras personalizadas de firewall não são mantidas durante uma atualização.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Issues cannot be closed if they contain a permalink to a blob in the same repository where the file path is longer than 255 characters.

  • Quando "Usuários podem pesquisar pelo GitHub.com" está habilitado com o GitHub Connect, os problemas em repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer push em um repositório na linha de comando.

  • Log rotation may fail to signal services to transition to new log files, leading to older log files continuing to be used, and eventual root disk space exhaustion. To remedy and/or prevent this issue, run the following commands in the administrative shell (SSH), or contact GitHub Enterprise Support or GitHub Premium Support for assistance:

    printf "PATH=/usr/local/sbin:/usr/local/bin:/usr/local/share/enterprise:/usr/sbin:/usr/bin:/sbin:/bin\n29,59 * * * * root /usr/sbin/logrotate /etc/logrotate.conf\n" | sudo sponge /etc/cron.d/logrotate
    sudo /usr/sbin/logrotate -f /etc/logrotate.conf
    

Enterprise Server 2.21.16

Download

March 16, 2021

📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. Please use the latest release for the latest security, performance, and bug fixes.

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • Importing of repository archives from GitHub Enterprise Server that are missing repository files would fail with an error.

  • On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.

  • As regras personalizadas de firewall não são mantidas durante uma atualização.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Issues cannot be closed if they contain a permalink to a blob in the same repository where the file path is longer than 255 characters.

  • Quando "Usuários podem pesquisar pelo GitHub.com" está habilitado com o GitHub Connect, os problemas em repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer push em um repositório na linha de comando.

Enterprise Server 2.21.15

Download

March 02, 2021

📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. Please use the latest release for the latest security, performance, and bug fixes.

  • ALTO: Uma vulnerabilidade de controle de acesso imprópria foi identificada no GitHub Enterprise Server, o que permitiu que usuários autenticados da instância obtivessem acesso de gravação a repositórios não autorizados por meio de solicitações especificamente elaboradas e solicitações da API REST. Um invasor precisaria ser capaz de bifurcar o repositório de destino, uma configuração desabilitada por padrão para repositórios privados pertencentes à organização. As proteções de branch como revisões de pull request requeridas ou verificações de status impediriam que commits não autorizados fossem mesclados sem revisão ou validação. A essa vulnerabilidade foi atribuída a CVE-2021-22861. Esse problema foi relatado por meio do Programa de Recompensas de Erros do GitHub.

  • ALTO: Uma vulnerabilidade de controle de acesso imprópria foi identificada na API do GraphQL do GitHub Enterprise Server, o que permitiu que usuários autenticados da instância modificassem a permissão de colaboração do mantenedor de um pull request sem autorização adequada. Explorando essa vulnerabilidade, um invasor seria capaz de obter acesso aos branches principais dos pull requests abertos em repositórios dos quais são mantenedores. A bifurcação de repositórios está desabilitada por padrão para repositórios privados de propriedade da organização e impediria esta vulnerabilidade. Além disso, as proteções de branches, como revisões de pull request necessárias ou verificações de status impediriam que commits não autorizados fossem mesclados sem outras revisões ou validações. Essa vulnerabilidade foi atribuída a CVE-2021-22863. Esse problema foi relatado por meio do Programa de Compensação de Erro do GitHub.

  • HIGH: A remote code execution vulnerability was identified in GitHub Enterprise Server that could be exploited when building a GitHub Pages site. User-controlled configuration of the underlying parsers used by GitHub Pages were not sufficiently restricted and made it possible to execute commands on the GitHub Enterprise Server instance. To exploit this vulnerability, an attacker would need permission to create and build a GitHub Pages site on the GitHub Enterprise Server instance. This vulnerability has been assigned CVE-2020-10519 and was reported via the GitHub Bug Bounty Program.

  • MÉDIO: Os tokens do GitHub Pages podem acabar em registros.

  • BAIXO: Uma solicitação especialmente trabalhada para a ponte SVN poderia ser acionada muito tempo antes de a falha resultar em uma negação de serviço (DoS).

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • The load-balancer health checks in some cases could cause the babeld logs to fill up with errors about the PROXY protocol.

  • Uma mensagem informativa foi registrada involuntariamente como erro nos instantâneos dos utilitários do GitHub Enterprise Backup, o que gerou o envio de e-mails desnecessários quando os backups eram programados por trabalhos do cron que ouvem a saída para o stderr.

  • While restoring a large backup, exception logging related to Redis memory exhaustion could cause the restore to fail due to a full disk.

  • Ao editar uma página wiki, um usuário pode ter um erro 500 ao clicar no botão Salvar.

  • An S/MIME signed commit using a certificate with multiple names in the subject alternative name would incorrectly show as "Unverified" in the commit badge.

  • O usuário suspenso recebeu e-mails quando adicionado a uma equipe.

  • When a repository had a large number of manifests an error You have reached the maximum number of allowed manifest files (20) for this repository. was shown on the Insights -> Dependency graph tab. For more information, see Visualization limits.

  • When uploading a new license file with a different number of seats from the previous license file, the seat difference was not correctly represented in the enterprise account Settings -> License page.

  • The "Prevent repository admins from changing anonymous Git read access" checkbox available in the enterprise account settings could not be successfully enabled or disabled.

  • When a GitHub Pages build failed, the email notification contained an incorrect link for support location.

  • During a leap year, the user was getting a 404 response when trying to view Contribution activity on a Monday.

  • Ocorreu uma falha na visita da seção Explorar com um erro de 500 Internal Server.

  • On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.

  • As regras personalizadas de firewall não são mantidas durante uma atualização.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Issues cannot be closed if they contain a permalink to a blob in the same repository where the file path is longer than 255 characters.

  • Quando "Usuários podem pesquisar pelo GitHub.com" está habilitado com o GitHub Connect, os problemas em repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer push em um repositório na linha de comando.

Enterprise Server 2.21.14

Download

December 17, 2020

📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. Please use the latest release for the latest security, performance, and bug fixes.

  • BAIXO: Alto uso da CPU pode ser acionado por uma solicitação especialmente elaborada para a ponte SVN, o que resulta em em Negação de Serviço (DoS).

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

Enterprise Server 2.21.13

Download

December 03, 2020

📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. Please use the latest release for the latest security, performance, and bug fixes.

  • O serviço de autorização foi detectado como não saudável devido a uma condição de raça no bootstrap que gerou a reinicialização do serviço.

  • Um comportamento subjacente fez com que um serviço se tornasse indisponível durante o processo de atualização do hotpatch

  • Um subconjunto de registros de encaminhamento de certificados SSL não foi aplicado corretamente.

  • Notificações de e-mail enviadas aos usuários suspensos quando foram removidos de uma equipe ou de uma organização.

  • A forma como os certificados SSH foram aplicados entre organizações e empresas foi inconsistente.

  • Quando uma conta teve o limite de taxa limitado devido ao uso de senhas incorretas, ela pôde ser bloqueada por até 24 horas.

  • A sincronização de pull request em repositórios com muitas referências pode fazer com que as filas de trabalhador sejam atrasadas.

  • Ao efetuar o login após tentar visitar uma página específica, as pessoas eram enviadas para a página inicial em vez de serem enviadas para o seu destino pretendido.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

Enterprise Server 2.21.12

Download

November 17, 2020

📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. Please use the latest release for the latest security, performance, and bug fixes.

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • Os logs de babeld não tinham um separador entre segundos e microssegundos.

  • Quando a política de "alteração de visibilidade do repositório" na conta corporativa foi definida como "Habilitada", os proprietários da organização não conseguiram alterar a visibilidade dos repositórios na organização.

  • Os logs de auditoria podem ser atribuídos a 127.0.0.1 em vez do endereço IP da fonte real.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

Enterprise Server 2.21.11

Download

November 03, 2020

📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. Please use the latest release for the latest security, performance, and bug fixes.

  • MÉDIO: Alto uso de CPU pode ser acionado por uma solicitação especialmente elaborada para a ponte SVN resultando em Negação de Serviço (DoS).

  • BAIXO: A validação incorreta de token gerou uma entropia reduzida para os tokens de correspondência durante a autenticação. A análise mostra que, na prática, não há risco significativo de segurança aqui.

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • Editar templates de problemas com nomes de arquivos que contenham caracteres diferentes de ASCII gerariam uma falha com um "500 Internal Server Error".

  • Um método métrico de coleta em segundo plano para aumentar a utilização da CPU. (atualizado 2020-11-03)

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

  • Os logs de auditoria podem ser atribuídos a 127.0.0.1 ao invés do endereço IP da fonte real.

Enterprise Server 2.21.10

Download

October 20, 2020

📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. Please use the latest release for the latest security, performance, and bug fixes.

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • A mensagem da conta corporativa "Confirmar requisito de dois fatores" estava incorreta.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

  • Os logs de auditoria podem ser atribuídos a 127.0.0.1 ao invés do endereço IP de origem real. (atualizado 2020-11-02)

Enterprise Server 2.21.9

Download

October 09, 2020

📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. Please use the latest release for the latest security, performance, and bug fixes.

  • Um usuário cujo nome de usuário de diretório de LDAP padronizado em um login da conta GHES existente pode efetuar a autenticação na conta existente.

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • O menu suspenso de formato do ID do nome no Console de Gerenciamento seria redefinido para "não especificado" depois de configurá-lo como "persistente".

  • Salvar as configurações por meio do console de gerenciamento acrescentaria uma nova linha aos arquivos certificado TLS/SSL e chave que acionou o recarregamento desnecessário de alguns serviços.

  • Os logs do sistema para o gráfico de dependência não estavam girando, permitindo um crescimento no armazenamento ilimitado.

  • A atualização poderia falhar se a configuração de substituição dos trabalhadores resgatados estiver em uso.

  • Ao importar um repositório com "ghe-migrator" poderá gerar uma exceção inesperada quando os dados inconsistentes estão presentes.

  • Os links para as Consultorias de Segurança GitHub usariam uma URL com o nome de host da instância do GitHub Enterprise Server em vez do GitHub.com, direcionando o usuário para uma URL inexistente.

  • A página de configurações de segurança da conta corporativa mostrou um link para "Visualizar as configurações atuais das organizações" para a configuração da "Autenticação de dois fatores" quando o modo de autenticação em uso não é compatível com autenticação de dois fatores.

  • Ao usar "ghe-migrator" para importar solicitações de revisão de PR, os registros associados com usuários excluídos resultariam em registros estranhos do banco de dados.

  • Ao importar usuários com "ghe-migrator", ocorreria o erro de "E-mail é inválido" se o endereço de e-mail gerado pelo sistema tivesse mais de 100 caracteres.

  • Registrar a atividade do webhook poderia usar uma grande quantidade de espaço no disco e fazer com que o disco raiz ficasse cheio.

  • O suporte é adicionado ao tipo de instância do AWS EC2 m5.16xlarge.

  • Remova o requisito de impressões digitais SSH nos arquivos "ghe-migrator", pois ele sempre pode ser computado.

  • Os manifestos do aplicativo GitHub agora incluem o campo "request_oauth_on_install".

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

  • Os logs de auditoria podem ser atribuídos a 127.0.0.1 ao invés do endereço IP de origem real. (atualizado 2020-11-02)

Enterprise Server 2.21.8

Download

September 23, 2020

📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. Please use the latest release for the latest security, performance, and bug fixes.

  • MÉDIO: ImageMagick foi atualizado para o endereço DSA-4715-1.

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • Os administradores não conseguiram ver webhooks de repositório entregues e, ao invés disso, viram "Sorry, something went wrong and we weren't able to fetch the deliveries for this hook".

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

  • Os logs de auditoria podem ser atribuídos a 127.0.0.1 ao invés do endereço IP de origem real. (atualizado 2020-11-02)

Enterprise Server 2.21.7

Download

September 08, 2020

📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. Please use the latest release for the latest security, performance, and bug fixes.

  • Uma verificação de saúde do serviço causou o crescimento da sessão, o que gerou um esgotamento do sistema de arquivos.

  • A atualização que usa um hotpatch pode falhar com um erro: 'libdbi1' was not found

  • Configurar a permissão de um repositório para "Triagem" ou "Manter" não irá mais falhar.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

  • Os logs de auditoria podem ser atribuídos a 127.0.0.1 ao invés do endereço IP de origem real. (atualizado 2020-11-02)

Enterprise Server 2.21.6

Download

August 26, 2020

📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. Please use the latest release for the latest security, performance, and bug fixes.

  • CRITICAL: A remote code execution vulnerability was identified in GitHub Pages that could be exploited when building a GitHub Pages site. User-controlled configuration of the underlying parsers used by GitHub Pages were not sufficiently restricted and made it possible to execute commands on the GitHub Enterprise Server instance. To exploit this vulnerability, an attacker would need permission to create and build a GitHub Pages site on the GitHub Enterprise Server instance. This vulnerability affected all versions of GitHub Enterprise Server. The underlying issues contributing to this vulnerability were identified both internally and through the GitHub Security Bug Bounty program. We have issued CVE-2020-10518.

  • MEDIUM: An improper access control vulnerability was identified that allowed authenticated users of the instance to determine the names of unauthorized private repositories given their numerical IDs. This vulnerability did not allow unauthorized access to any repository content besides the name. This vulnerability affected all versions of GitHub Enterprise Server prior to 2.22 and has been assigned CVE-2020-10517. The vulnerability was reported via the GitHub Bug Bounty program.

  • Packages have been updated to the latest security versions.

  • A message was not logged when the ghe-config-apply process had finished running ghe-es-auto-expand.

  • Excessive logging to the syslog file could occur on high-availability replicas if the primary appliance is unavailable.

  • Database re-seeding on a replica could fail with an error: Got packet bigger than 'max_allowed_packet'

  • In some cases duplicate user data could cause a 500 error while running the ghe-license-usage script.

  • Using ghe-migrator, the add command would fail to lock a repository when using the --lock flag.

  • In a high availability or geo-replication configuration, replica instances would exit maintenance mode when ghe-config-apply ran.

  • We've added support for the R5a and R5n AWS instance types.

  • Removed the license seat count information on the administrative SSH MOTD due to a performance issue impacting GitHub Enterprise Server clusters.

  • On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.

  • Custom firewall rules are not maintained during an upgrade.

  • Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.

  • Issues cannot be closed if they contain a permalink to a blob in the same repository where the file path is longer than 255 characters.

  • When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.

  • Security alerts are not reported when pushing to a repository on the command line.

  • Audit logs may be attributed to 127.0.0.1 instead of the actual source IP address. (updated 2020-11-02)

  • Configuring a repository's permission to Triage or Maintain fails with an error message.

Enterprise Server 2.21.5

Download

August 12, 2020

📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. Please use the latest release for the latest security, performance, and bug fixes.

  • Resolveu um problema que poderia gerar alto uso da CPU ao gerar modelos de configuração do sistema.

  • Alterações recentes nas alocações de memória podem gerar uma degradação no desempenho do sistema

  • Problemas temporários de conectividade durante a execução de migrações de banco de dados podem gerar perda de dados.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

  • Os logs de auditoria podem ser atribuídos a 127.0.0.1 ao invés do endereço IP de origem real. (atualizado 2020-11-02)

  • Ocorre uma falha na configuração da permissão de um repositório para "Triagem" ou "Manter" com uma mensagem de erro.

Enterprise Server 2.21.4

Download

August 11, 2020

📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. Please use the latest release for the latest security, performance, and bug fixes.

  • CRÍTICO: Uma vulnerabilidade de execução de código remoto foi identificada no GitHub Pages e permite que um invasor execute comandos como parte de criação de um site do GitHub Pages. Esse problema deve-se a uma dependência desatualizada e vulnerável usada no processo de criação de páginas. Para explorar essa vulnerabilidade, um invasor precisará de permissão para criar e construir um site do GitHub Pages na instância do GitHub Enterprise Server. Esta vulnerabilidade afetou todas as versões do GitHub Enterprise Server. Para mitigar essa vulnerabilidade, a Kramdown foi atualizada para abordar o CVE-2020-14001.

  • ALTO: Alto: Um invasor pode injetar um argumento malicioso em um subcomando do Git quando executado no GitHub Enterprise Server. Isso pode permitir que o invasor sobrescreva arquivos arbitrários com conteúdo controlado parcialmente pelo usuário e potencialmente execute comandos arbitrários na instância do GHES. Para explorar essa vulnerabilidade, um invasor precisaria de permissão para acessar repositórios dentro da instância do GitHub Enterprise Server. No entanto, devido a outras proteções em vigor, não conseguimos identificar uma forma de explorar ativamente esta vulnerabilidade. Esta vulnerabilidade foi relatada por meio do programa GitHub Security Bug Bounty

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • Um erro de configuração do Cônsul impediu que algumas tarefas de segundo plano fossem processadas em instâncias autônomas.

  • O cálculo de alocação de memória de serviço poderia determinar uma alocação de memória incorreta ou ilimitada para um serviço resultando em desempenho de sistema pobre.

  • A plataforma de virtualização para sistemas oVirt KVM não foi detectada corretamente, gerando problemas durante as atualizações.

  • A mensagem de erro para autenticação inválida com uma senha via linha de comando do Git não preencheu a URL vinculada à adição do token apropriado ou chave SSH.

  • Criar um problema em um repositório de usuário que usa o recurso de modelo do problema pode falhar com um erro de servidor interno.

  • Ocorreu uma falha ao acessar a seção Explorar com um erro de servidor interno de 500.

  • Os problemas não puderam ser classificados por Atualizações recentes nos repositórios migrados para uma nova instância.

  • O GitHub Connect estava usando um ponto obsoleto da API do GitHub.com.

  • A coleta de métricas internas para trabalhos de segundo plano contribuiu para o uso desnecessário da CPU e da memória.

  • A página 404 continha links de contato e links status do GitHub.com na nota de rodapé.

  • Trabalhos de segundo plano para um recurso não publicado foram enfileirados e deixados sem processamento.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

  • Os logs de auditoria podem ser atribuídos a 127.0.0.1 ao invés do endereço IP de origem real. (atualizado 2020-11-02)

  • Ocorre uma falha na configuração da permissão de um repositório para "Triagem" ou "Manter" com uma mensagem de erro.

Enterprise Server 2.21.3

Download

July 21, 2020

📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. Please use the latest release for the latest security, performance, and bug fixes.

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • Os gráficos do monitor do console de gerenciamento às vezes não seriam exibidos corretamente em telas maiores.

  • Não era possível usar o fluxo de criação do manifesto do aplicativo GitHub em alguns cenários quando uma política de Cookie do SameSite foi aplicada.

  • Em algumas circunstâncias, o acesso à página de "Explorar" geraria um erro no aplicativo.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

  • Os logs de auditoria podem ser atribuídos a 127.0.0.1 ao invés do endereço IP de origem real. (atualizado 2020-11-02)

  • Ocorre uma falha na configuração da permissão de um repositório para "Triagem" ou "Manter" com uma mensagem de erro.

Enterprise Server 2.21.2

Download

July 09, 2020

📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. Please use the latest release for the latest security, performance, and bug fixes.

  • MEDIUM: foi atualizado para a versão 1.16.1 e dirigiu o CVE-2019-20372. (atualizado 2020-07-22)

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • Certos arquivos de registro não giraram a cada 7 dias.

  • A reutilização rápida de portas de origem de webhook resultou em conexões rejeitadas.

  • Os trabalhos em segundo plano incorretos podem tentar ser executados em instâncias configuradas como réplicas passivas.

  • A VPN entre nós pode tornar-se instável, fazendo com que erros sejam registrados e espaço livre no volume raiz seja esgotado.

  • Os repositórios internos não foram incluídos corretamente nos resultados de pesquisa para as orgs habilitadas com SAML.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

  • Os logs de auditoria podem ser atribuídos a 127.0.0.1 ao invés do endereço IP de origem real. (atualizado 2020-11-02)

  • Ocorre uma falha na configuração da permissão de um repositório para "Triagem" ou "Manter" com uma mensagem de erro.

Enterprise Server 2.21.1

Download

June 23, 2020

📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. Please use the latest release for the latest security, performance, and bug fixes.

  • Os pacotes foram atualizados para as últimas versões de segurança.

  • Eventos de registro excessivamente grandes podem gerar instabilidade no encaminhamento do registro quando UDP foi usado como o mecanismo de transporte.

  • O serviço de comunicação interno usado para acessar o MySQL pode ser reiniciado com mais frequência do que o necessário, incluindo parte do processo de atualização, que pode fazer com que a atualização falhe parcialmente. Reduzimos a taxa de reinicialização e tornamos o código mais robusto.

  • A suspensão automática de um usuário através de SSO não foi concluída se o atributo de chaves SSH já tinha chaves associadas à conta do usuário.

  • O hash de permissão do repositório da API REST não indicou acesso para membros de negócios que têm acesso a repositórios internos.

  • A política da conta corporativa "Exclusão de problema do repositório" não refletiu a configuração salva no momento.

  • O log de auditoria não incluiu eventos de alteração de proteção de branch.

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer envio por push em um repositório na linha de comando.

  • Os logs de auditoria podem ser atribuídos a 127.0.0.1 ao invés do endereço IP de origem real. (atualizado 2020-11-02)

  • Ocorre uma falha na configuração da permissão de um repositório para "Triagem" ou "Manter" com uma mensagem de erro.

Enterprise Server 2.21.0

Download

June 09, 2020

📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. Please use the latest release for the latest security, performance, and bug fixes.

  • Uma vulnerabilidade de controle de acesso imprópria foi identificada na API do GitHub Enterprise Server que permitiu que um integrante da organização aumentasse as permissões e recebesse acesso a repositórios não autorizados dentro de uma organização. Esta vulnerabilidade afetou todas as versões do GitHub Enterprise Server anteriores à versão 2.21. Emitimos CVE-2020-10516 em resposta a este problema. A vulnerabilidade foi relatada por meio do programa Bug Bounty do GitHub.

  • Se um usuário com acesso push minimizou o comentário de outro usuário, o autor do comentário poderia minimizá-lo mesmo se não tivesse privilégios suficientes.

  • Os usuários podem acidentalmente fazer merge para mestre a partir do editor de modelos de problemas e blob.

  • Quando um usuário exclui uma conta do GitHub, os registros do log de auditoria não mostraram corretamente os registros de remoção da organização.

  • O avatar do gist para o usuário atual faria um link para uma URL inexistente.

  • A aba de contagem de repositórios da organização não incluiu repositórios internos.

  • Ao transferir um repositório, clicar no botão "Mostrar Todas as Equipes" gerou um erro 500.

  • Os nomes de arquivos longos podem gerar um excesso de fluxo de problemas ao mostrar a etiqueta "Alterado desde a última vista" ou a alternância de diff de "Mostrar enriquecido" na vista dos arquivos diff.

  • Os cartões de vista virtual para equipes da organização relataram mal o tamanho do integrante.

  • A janela pop-up de comentário do pull request teve um problema de deslocamento.

  • Haproxy pode saturar-se, gerando lentidão nas operações do git.

  • O recurso Gráfico de Dependência não foi automaticamente habilitado após a promoção da réplica de HA.

  • É possível que um tempo limite seja acionado na página de índice de lançamentos para repositórios com milhares de rascunhos de pull requests.

  • Não foi possível filtrar os pull requests por estado e rascunho ao mesmo tempo.

  • Se um pull request mudou um ponteiro do submódulo, clicar em "Editar arquivo" nesse arquivo do submódulo na aba "Arquivos alterados" da página de pull request gerou o erro 404.

  • Não foi possível adicionar usuários a uma organização ou excluir a organização após a remoção em massa de todos os usuários e administradores dessa organização.

  • Os comentários de revisão em arquivos que contêm diacríticos e caracteres não latinos no nome do arquivo na página "Arquivos alterados" desapareceram quando a página foi recarregada.

  • O estado da caixa de seleção "Visualizado" não foi mantido para arquivos que contêm diacríticos e caracteres não latinos no nome do arquivo na página "Arquivos alterados".

  • Os pulls requests mostraram o selo "Aprovado" quando nem todas as revisões necessárias estavam em vigor.

  • O menu suspenso de tags estava vazio ao procurar uma tag em repositórios com mais de 100 tags.

  • As páginas de pull request que mostram anotações com títulos diferentes de UTF-8 puderam encontrar erros de codificação na representação da vista.

  • Uma condição de corrida para atualização na página OAuth pode fazer com que um redirecionamento seja executado duas vezes.

  • A página "Tokens de Acesso Pessoal" esgotaria o tempo se houvesse mais de 10 tokens.

  • Os trabalhos de sincronização programados para usuários e equipes de LDAP puderam ser iniciados enquanto os trabalhos de sincornização programados anteriormente ainda se encontram em processo. Implementou-se um mecanismo de bloqueio para evitar que os novos trabalhos de sincronização começassem, caso um deles ainda estivesse sendo executado.

  • A interface de notificações web foi atualizada, incluindo states, filters e shortcuts novos.

  • Agora é possível desabilitar a reativação de usuários de LDAP na sincronização de LDAP.

  • A redação de branch protegido por push foi atualizada para esclarecer que os administradores podem sempre fazer envio por push e que os usuários com a função de Manutenção podem fazer push quando as verificações de status passarem.

  • Evitar commit em branco quando a sugestão for idêntica ao texto original.

  • A paginação é compatível como uma forma de obter mais arquivos no diff associados a um commit por meio da API REST.

  • Administradores podem habilitar, desabilitar, excluir e pesquisar webhooks usando o ID do webhook na linha de comando e usando ghe-webhook-manage.

  • Redirecionamento automático de base acontecerá após a limpeza manual de referência de cabeça para um pull request mesclado.

  • Os arquivos SVG são tratados como texto e como imagens no visualizador de diff.

  • A configuração "excluir branches automaticamente ao fazer merge" pode ser definida ao criar e atualizar repositórios usando a API REST.

  • Um novo ponto de extremidade foi adicionado para excluir uma implantação por meio da API REST.

  • Os administradores podem habilitar alertas de segurança e desabilitar todas as notificações desses alertas.

  • O registro de Pages mostra o login do usuário que está acessando o site do GitHub Pages.

  • Os integrantes corporativos podem ver todas as organizações às quais pertencem como parte da sua conta empresarial em apenas uma visualização, acessando https://[ghes-hostname]/enterprises/[account-name].

  • Suporte da API REST para triagem e manutenção de funções foi expandido.

  • Um usuário pode criar e compartilhar consultas de pesquisa que resolvam para o usuário atual se utilizar a sintaxe de pesquisa @me.

  • Novas opções de configuração de modelo de problema foram added.

  • O backup e restauração de confiabilidade e tempo para a conclusão do MySQL foram aprimorados.

  • Visibilidade aprimorada de pull requests e referências de problemas na barra lateral de problemas, cartões de problemas e lista de problemas.

  • Os usuários podem filtrar e pesquisar por linked:pr ou linked:issue.

  • Agora é possível a recuperação automática de falhas de MySQL dentro de apenas uma região de implantações de Cluster.

  • Um usuário pode comparar tags entre duas versões para determinar quais alterações foram feitas na página de versões.

  • Comentários desatualizados não são mais recolhidos por padrão na linha do tempo do Pull Request. Eles podem ser recolhidos resolvendo o tópico.

  • Os administradores podem ver uma lista de logins reservados para uso interno, acessando para a aba de ferramentas de equipe "Reservadas".

  • Em uma nova configuração do GitHub Enterprise Server sem qualquer usuário, um invasor pode criar o primeiro usuário administrador.

  • As regras personalizadas do firewall não são mantidas em um upgrade.

  • Arquivos LFS do Git enviados através da interface web são adicionados diretamente ao repositório e de forma incorreta.

  • Os problemas não podem ser fechados se contiverem um permalink para um blob no mesmo repositório em que o caminho do arquivo tem mais de 255 caracteres.

  • Ao fazer push em um gist, pode-se adicionar uma exceção durante o hook de post-receive.

  • Quando "Usuários podem pesquisar no GitHub.com" está habilitado com o GitHub Connect, os problemas nos repositórios privados e internos não estão incluídos nos resultados de pesquisa do GitHub.com.

  • Os alertas de segurança não são relatados ao fazer push em um repositório na linha de comando. (atualizado 2020-06-23)

  • Os logs de auditoria podem ser atribuídos a 127.0.0.1 ao invés do endereço IP de origem real. (atualizado 2020-11-02)

  • Ocorre uma falha na configuração da permissão de um repositório para "Triagem" ou "Manter" com uma mensagem de erro.

Esse documento ajudou você?

Privacy policy

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.