【行业资讯】GitLab 发布安全性版本 13.7.2，13.6.4，和13.5.6

GitLab 发布了安全性版本 13.7.2, 13.6.4, and 13.5.6，包括社区版和企业版。

安全性问题包括

对于 GitLab 11.5+ 的 GitLab 页面中的身份验证参数验证不足

攻击者可以通过发送格式错误的 HTTP请求，在 GitLab 13.7+ 中导致 Prometheus 拒绝服务

从 12.1 版本开始，通过特定项目页面中不正确的 header，攻击者可以临时访问公共仓库，该功能本来只能由项目中的成员使用

从 12.8 版本开始，NuGet API 中的一个正则表达式拒绝服务

CVE-2020-26414：从 12.4 版本开始，用于包名的正则表达式的执行时间随着恶意输入的字符串长度呈 2 次增长

curl 依赖关系已升级到 7.74.0，以减轻安全隐患

CVE-2019-3881：缓解捆绑依赖的问题