ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

このバージョンの GitHub Enterprise はこの日付をもって終了となりました: 2021-03-02. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの改善、新機能のためには、最新バージョンのGitHub Enterpriseにアップグレードしてください。 アップグレードに関する支援については、GitHub Enterprise supportに連絡してください。

2.20 Release notes

2.21

Enterprise Server 2.20.24

Download

March 01, 2021

  • HIGH: An improper access control vulnerability was identified in GitHub Enterprise Server that allowed authenticated users of the instance to gain write access to unauthorized repositories via specifically crafted pull requests and REST API requests. An attacker would need to be able to fork the targeted repository, a setting that is disabled by default for organization owned private repositories. Branch protections such as required pull request reviews or status checks would prevent unauthorized commits from being merged without further review or validation. This vulnerability has been assigned CVE-2021-22861. This issue was reported via the GitHub Bug Bounty Program.

  • HIGH: An improper access control vulnerability was identified in the GitHub Enterprise Server GraphQL API that allowed authenticated users of the instance to modify the maintainer collaboration permission of a pull request without proper authorization. By exploiting this vulnerability, an attacker would be able to gain access to head branches of pull requests opened on repositories of which they are a maintainer. Forking is disabled by default for organization owned private repositories and would prevent this vulnerability. Additionally, branch protections such as required pull request reviews or status checks would prevent unauthorized commits from being merged without further review or validation. This vulnerability has been assigned CVE-2021-22863. This issue was reported via the GitHub Bug Bounty Program.

  • HIGH: A remote code execution vulnerability was identified in GitHub Enterprise Server that could be exploited when building a GitHub Pages site. User-controlled configuration of the underlying parsers used by GitHub Pages were not sufficiently restricted and made it possible to execute commands on the GitHub Enterprise Server instance. To exploit this vulnerability, an attacker would need permission to create and build a GitHub Pages site on the GitHub Enterprise Server instance. This vulnerability has been assigned CVE-2020-10519 and was reported via the GitHub Bug Bounty Program.

  • LOW: A specially crafted request to the SVN bridge could trigger a long wait before failure resulting in Denial of Service (DoS).

  • Packages have been updated to the latest security versions.

  • An informational message was unintentionally logged as an error during GitHub Enterprise Backup Utilities snapshots, which resulted in unnecessary emails being sent when backups were scheduled by cron jobs that listen for output to stderr.

  • While restoring a large backup, exception logging related to Redis memory exhaustion could cause the restore to fail due to a full disk.

  • When editing a wiki page a user could experience a 500 error when clicking the Save button.

  • An S/MIME signed commit using a certificate with multiple names in the subject alternative name would incorrectly show as "Unverified" in the commit badge.

  • Suspended user was sent emails when added to a team.

  • When uploading a new license file with a different number of seats from the previous license file, the seat difference was not correctly represented in the enterprise account Settings -> License page.

  • The "Prevent repository admins from changing anonymous Git read access" checkbox available in the enterprise account settings could not be successfully enabled or disabled.

  • During a leap year, the user was getting a 404 response when trying to view Contribution activity on a Monday.

  • On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.

  • Custom firewall rules are not maintained during an upgrade.

  • Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.

  • Issues cannot be closed if they contain a permalink to a blob in the same repository where the file path is longer than 255 characters.

  • When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.

  • Security alerts are not reported when pushing to a repository on the command line.

Enterprise Server 2.20.23

Download

December 16, 2020

  • 低: SVNブリッジへの特別に細工されたリクエストによって引き起こされる高いCPU使用率によって、サービス拒否(DoS)が引き起こされる可能性がありました。

  • パッケージが最新のセキュリティバージョンに更新されました。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。

Enterprise Server 2.20.22

Download

December 02, 2020

  • ブートストラップ時のレース条件により、認可サービスが不健全として検出され、再起動されることにつながりました。

  • 下位の動作により、ホットパッチアップグレードのプロセス中に、サービスが利用できなくなりました

  • ログ転送SSL証明書の一部が正しく適用されませんでした。

  • サスペンドされたユーザがTeamあるいはOrganizationから削除されると、そのユーザにメール通知が送信されました。

  • SSH証明書の適用方法が、OrganizationとBusiness間で整合していませんでした。

  • 不正確なパスワードの利用のためにアカウントにレート制限が適用された場合に、最大で24時間ロックアウトされることがありました。

  • 多くの参照を持つリポジトリ上のPull Requestの同期が、ワーカーキューを遅れさせることがありました。

  • 特定のページへのアクセスを試みた後にサインインすると、意図したアクセス先ではなくホームページにユーザが送られてしまいました。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。

Enterprise Server 2.20.21

Download

November 16, 2020

  • パッケージが最新のセキュリティバージョンに更新されました。

  • baneldログに秒とマイクロ秒の間のセパレータが欠けていました。

  • Enterpriseアカウントの"Repository visibility change"ポリシーが"Enabled"に設定されている場合、OrganizationオーナーがOrganization内のリポジトリの可視性を変更できませんでした。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。

Enterprise Server 2.20.20

Download

November 02, 2020

  • 中: SVNブリッジへの特別に細工されたリクエストによって引き起こされる高いCPU使用率によって、サービス拒否(DoS)が引き起こされる可能性がありました。

  • 低: 不正確なトークンの検証によって、認証中のトークンのマッチのためのエントリピーが減少しました。分析からは、実際には大きなセキュリティ上のリスクはないことが示されています。

  • パッケージが最新のセキュリティバージョンに更新されました。

  • サスペンドされたユーザが推奨されるユーザのリストに含まれ、サスペンドされていないユーザを隠してしまう可能性がありました。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。

Enterprise Server 2.20.19

Download

October 19, 2020

  • パッケージが最新のセキュリティバージョンに更新されました。

  • Enterpriseアカウントの"Confirm two-factor requirement policy"メッセージが正しくありませんでした。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。

Enterprise Server 2.20.18

Download

October 08, 2020

  • LDAPディレクトリのユーザ名を標準化すると既存のGHESアカウントのログインになってしまうユーザが、その既存のアカウントとして認証されることがありました。

  • パッケージが最新のセキュリティバージョンに更新されました。

  • 管理コンソールのNameID Fortmatドロップダウンが、"persistent"に設定された後に"unspecified"にリセットされます。

  • 管理コンソール での設定の保存によって、TLS/SSLの証明書及びキーファイルに改行を追加してしまい、不必要に再ロードされるサービスが生じました。

  • 依存関係グラフのシステムログがローテートされず、無制限にストレージを消費できてしまいました。

  • GitHubセキュリティアドバイザリへのリンクが、GitHub.comではなくGitHub Enterprise Serverインスタンスのホスト名を持つURLを使い、ユーザを存在しないURLにアクセスさせました。

  • ghe-migratorでリポジトリをインポートする際に、不整合なデータが存在していると、予期しない例外が生じることがありました。

  • ghe-migratorを使ってPRレビューリクエストをインポートする際に、削除されたユーザに関連付けられたレコードによって関係性を持たないデータベースレコードが残ります。

  • ghe-migratorでユーザをインポートする際に、システムによって生成されたメールアドレスが100文字以上の長さになっていると、"Emails is invalid"エラーが生じます。

  • webhookのアクティビティのログが大量のディスク領域を使い、ルートディスクが一杯になってしまいます。

  • AWS EC2のインスタンスタイプm5.16xlargeのサポートが追加されました。

  • ghe-migratorアーカイブのSSHフィンガープリントはいつでも計算できるので、必須ではなくなりました。

  • GitHub Appマニフェストにrequest_oauth_on_installフィールドが含まれるようになりました。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。

Enterprise Server 2.20.17

Download

September 22, 2020

  • : DSA-4715-1に対処するためにImageMagickがアップデートされました。

  • パッケージが最新のセキュリティバージョンに更新されました。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。

Enterprise Server 2.20.16

Download

September 07, 2020

  • サービスのへするチェックでセッションが増加し、ファイルシステムのinodeが枯渇しました。

  • ホットパッチを使用したアップグレードが'libdbi1' was not foundというエラーで失敗することがありました。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。

Enterprise Server 2.20.15

Download

August 25, 2020

  • CRITICAL: A remote code execution vulnerability was identified in GitHub Pages that could be exploited when building a GitHub Pages site. User-controlled configuration of the underlying parsers used by GitHub Pages were not sufficiently restricted and made it possible to execute commands on the GitHub Enterprise Server instance. To exploit this vulnerability, an attacker would need permission to create and build a GitHub Pages site on the GitHub Enterprise Server instance. This vulnerability affected all versions of GitHub Enterprise Server. The underlying issues contributing to this vulnerability were identified both internally and through the GitHub Security Bug Bounty program. We have issued CVE-2020-10518.

  • MEDIUM: An improper access control vulnerability was identified that allowed authenticated users of the instance to determine the names of unauthorized private repositories given their numerical IDs. This vulnerability did not allow unauthorized access to any repository content besides the name. This vulnerability affected all versions of GitHub Enterprise Server prior to 2.22 and has been assigned CVE-2020-10517. The vulnerability was reported via the GitHub Bug Bounty program.

  • Packages have been updated to the latest security versions.

  • A message was not logged when the ghe-config-apply process had finished running ghe-es-auto-expand.

  • Excessive logging to the syslog file could occur on high-availability replicas if the primary appliance is unavailable.

  • Database re-seeding on a replica could fail with an error: Got packet bigger than 'max_allowed_packet'

  • In some cases duplicate user data could cause a 500 error while running the ghe-license-usage script.

  • In a high availability or geo-replication configuration, replica instances would exit maintenance mode when ghe-config-apply ran.

  • We've added support for the R5a and R5n AWS instance types.

  • Removed the license seat count information on the administrative SSH MOTD due to a performance issue impacting GitHub Enterprise Server clusters.

  • On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.

  • Custom firewall rules are not maintained during an upgrade.

  • Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.

  • Issues cannot be closed if they contain a permalink to a blob in the same repository where the file path is longer than 255 characters.

  • When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.

  • Security alerts are not reported when pushing to a repository on the command line.

Enterprise Server 2.20.14

Download

August 11, 2020

  • システム設定のテンプレートを生成する間にCPU使用率を高くしてしまうことがある問題を解決しました。

  • メモリ割り当てへの最近の変更により、システムパフォーマンスが低下することがありました。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。

Enterprise Server 2.20.13

Download

August 10, 2020

  • 重大: 攻撃者がGitHub Pagesのサイトの構築の一部としてコマンドを実行できる、リモートコード実行の脆弱性がGitHub Pagesで特定されました。この問題は、Pagesのビルドプロセスで使われている古くて脆弱性のある依存関係によるものです。この脆弱性を突くには、攻撃者はGitHub Enterprise Serverインスタンス上でGitHub Pagesのサイトを作成して構築する権限を持っていなければなりません。この脆弱性は、GitHub Enterprise Serverのすべてのバージョンに影響します。この脆弱性を緩和するために、CVE-2020-14001への対応でkramdownがアップデートされました。

  • 高: GitHub Enterprise Server上で実行されるGitのサブコマンドに、攻撃者が悪意ある引数をインジェクトすることができました。これによって、攻撃者は部分的にユーザが制御する内容で任意のファイルを上書きでき、GitHub Enterprise Serverインスタンス上で任意のコマンドを実行できる可能性がありました。この脆弱性を突くためには、攻撃者はGitHub Enterprise Serverインスタンス内のリポジトリへのアクセス権限を持っていなければなりません。しかし、他の保護があるので、この脆弱性を積極的に突く方法は特定できませんでした。この脆弱性はGitHub Security Bug Bountyプログラムを通じて報告されました。

  • パッケージが最新のセキュリティバージョンに更新されました。

  • Consulの設定エラーによって、スタンドアローンインスタンス上で処理されないバックグランドジョブがありました。

  • サービスのメモリ割り当ての計算が、サービスに不正確もしくは無制限の割り当てを行い、システムのパフォーマンスを低下させることがありました。

  • oVirt KVMシステムの可視化プラットフォームが適切に検出されず、アップグレードの際に問題を生じさせていました。

  • Gitコマンドラインからのパスワードでの不正な認証のエラーメッセージが、適切なトークンもしくはSSHキーを追加するためのURLリンクを展開しませんでした。

  • GitHub Connectが、非推奨のGitHub.com APIエンドポイントを使用していました。

  • 新しいインスタンスに移行したリポジトリ上で最近の更新でIssueをソートできませんでした。

  • 404ページのフッタに、GitHub.comの連絡先とステータスリンクが含まれていました。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。

Enterprise Server 2.20.12

Download

July 20, 2020

  • パッケージが最新のセキュリティバージョンに更新されました。

  • 大きな画面において、管理コンソースのモニターグラフが適切に表示されないことがあります。

  • SameSiteクッキーポリシーが適用されている場合に、GitHub Appマニフェストが作成したフローが利用できない状況がありました。

  • HAProxyのスケーリングが改善されました。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。

Enterprise Server 2.20.11

Download

July 08, 2020

  • 中: nginxを1.16.1にアップデートし、CVE-2019-20372に対応しました。(2020-07-22更新)

  • パッケージが最新のセキュリティバージョンに更新されました。

  • 複数のRedisノードでのクラスタ設定にデプロイされた際に、依存関係グラフが依存関係を検出しませんでした。

  • 特定のログファイルが7日ごとにローテートされませんでした。

  • webhookのソースポートの頻繁な再利用によって、接続が拒否されました。

  • 正しくないバックグラウンドジョブが、パッシブレプリカとして設定されたインスタンス上で動作しようとすることがありました。

  • SAMLが有効になっているOrganizationで、インターナルリポジトリが検索結果に正しく含まれていませんでした。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。

Enterprise Server 2.20.10

Download

June 22, 2020

  • パッケージが最新のセキュリティバージョンに更新されました。

  • 転送のメカニズムとしてUDPが使用されている場合に、過度に大きなログイベントによってログのフォワーディングが不安定になることがありました。

  • SSO経由のユーザの自動サスペンション解除が、すでにユーザアカウントに関連づけられているキーがSSHキーの属性にある場合に完了しませんでした。

  • インターナルリポジトリへのプルアクセス権を持つビジネスメンバーについて、REST APIからのリポジトリ権限のハッシュがアクセス権を持たないと示していました。

  • Markdownで書かれたGitHub Appの説明のプレビューが、適切にレンダリングされていませんでした。

  • 監査ログにブランチ保護の変更イベントが含まれていませんでした。

  • 空のTeamのメンバーにコードレビューを割り当てようとすると、'500 Internal Server Error'が返されます。

  • ロードバランシングアルゴリズムを使ってコードレビューを割り当てると、同じTeamのメンバーに繰り返し割り当てられることがありました。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。

  • 複数のRedisノードでのクラスタ設定にデプロイされた際に、依存関係グラフが依存関係を検出しません。(2020-06-30更新)

Enterprise Server 2.20.9

Download

June 01, 2020

  • 高: Organizationのメンバーが権限を昇格させ、Organization内の認可されていないリポジトリへのアクセスを取得できてしまう不適切なアクセス制御の脆弱性が、GitHub Enterprise Server APIで特定されました。この脆弱性は、2.21以前のすべてのGitHub Enterprise Serverに影響します。この問題に対応して、CVE-2020-10516を発行しました。この脆弱性は、GitHubバグバウンティプログラムで報告されました。

  • パッケージが最新のセキュリティバージョンに更新されました。

  • インターネットに面しているGitHub Enterprise Serverインスタンスが、検索エンジンにインデックスされることがありました。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • Gistへのプッシュの際に、post-receiveフックの間に例外がトリガーされることがあります。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。(2020-06-23更新)

  • 複数のRedisノードでのクラスタ設定にデプロイされた際に、依存関係グラフが依存関係を検出しません。(2020-06-30更新)

Enterprise Server 2.20.8

Download

May 18, 2020

  • パッケージが最新のセキュリティバージョンに更新されました。

  • ライセンスファイルが更新された後、サービスが適切に再ロードされず、機能が失われました。

  • 依存関係グラフの情報を更新する内部APIリクエストが、レスポンスのボディが大きすぎる場合に失敗することがありました。

  • GraphQLのリポジトリ接続へのaffiliations引数が、対応されないことがありました。

  • SSO経由のユーザの自動サスペンション解除が、SAMLのemail属性の大文字小文字がGitHubのユーザのメールと異なっている場合に完了しませんでした。

  • Organizationへのユーザのメンバーシップの復元が、webhookと監査ログのペイロード内にアクターを組み込みませんでした。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • Gistへのプッシュの際に、post-receiveフックの間に例外がトリガーされることがあります。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。(2020-06-23更新)

  • 複数のRedisノードでのクラスタ設定にデプロイされた際に、依存関係グラフが依存関係を検出しません。(2020-06-30更新)

Enterprise Server 2.20.7

Download

May 04, 2020

  • パッケージが最新のセキュリティバージョンに更新されました。

  • ghe-repl-start及びghe-repl-statusが構文エラーを表示しました。

  • リポジトリで"automatically delete head branches(自動的にheadブランチを削除)"設定が有効化されており、Pull RequestがGitHub Appのインストールによってマージされた場合に、headブランチが自動的に削除されませんでした。

  • Organizationのメンバーが復帰したとき、webhookのペイロードが復帰を行った実際のユーザではなく、幽霊ユーザを送信者として報告しました。

  • リポジトリで"automatically delete head branches(自動的にheadブランチを削除)"設定が有効化されており、headリポジトリがベースリポジトリと異なる場合に、headブランチが自動的に削除されませんでした。

  • 一時ファイルのガベージコレクションがライセンス検証エラーにつながることがありました。

  • リポジトリが初めて作成された場合を含むいくつかの状況で、pre-receiveフックがGITHUB_REPO_PUBLIC環境変数に展開された値なしで実行されます。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • Gistへのプッシュの際に、post-receiveフックの間に例外がトリガーされることがあります。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。(2020-06-23更新)

  • 複数のRedisノードでのクラスタ設定にデプロイされた際に、依存関係グラフが依存関係を検出しません。(2020-06-30更新)

Enterprise Server 2.20.6

Download

April 22, 2020

  • : CVE-2020-1967に対応するためにOpenSSLがアップデートされました。

  • : CVE-2020-5260及びCVE-2020-11008に対処するため、Gitがアップデートされました。新しい制約によって、悪意あるリポジトリがサーバーインスタンスにプッシュされることが回避され、パッチされていないクライアントが保護されます。

  • : CVE-2019-10131に対処するためにImageMagickがアップデートされました。

  • パッケージが最新のセキュリティバージョンに更新されました。

  • Gitユーザには、Subversionを利用している既存のリポジトリをv4フォーマットからv3 LRSに変換するために必要なプロセスを起動する権限がありませんでした。

  • MySQLの設定のミスマッチによって、大規模な環境ではバックアップが失敗することがありました。

  • 以前のバージョンからのアップグレードの際に、バックグラウンドジョブワーカーがspawnせず、Pull Requestのマージなどの重要な機能が動作しないことがあります。

  • GitHub Enterprise Serverのライセンスが非ASCIIキャラクタを含んでいる場合、管理コンソールのAPI /setup/api/settingsエンドポイントへのGETリクエストに、Internal Server Errorが返されました。

  • ルートアカウントがロックされている場合でも、リカバリコンソールがルートパスワードを求めました。

  • CODEOWNERSファイルが先頭にUTF-8のバイトオーダーマークを持っていると、すべてのcodeownerルールが無視されます。

  • orchestrator-client cronジョブが失敗した場合、複数のメールがルートアカウントに送信されます。

  • 外部のアイデンティティプロバイダがユーザのサイト管理者のステータスを制御している場合、コマンドラインユーティリティでユーザを降格できませんでした。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • Gistへのプッシュの際に、post-receiveフックの間に例外がトリガーされることがあります。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。(2020-06-23更新)

  • 複数のRedisノードでのクラスタ設定にデプロイされた際に、依存関係グラフが依存関係を検出しません。(2020-06-30更新)

Enterprise Server 2.20.5

Download

April 06, 2020

  • パッケージが最新のセキュリティバージョンに更新されました。

  • グローバルEnterpriseアカウントが100MB以外のGitオブジェクトサイズオプションを持つリポジトリで、最大のGitオブジェクトサイズの100MBが選択できませんでした。

  • updated_atフィールドで順序付けされている場合、Issue及びPull Request APIからの結果が一貫性を持たない動作になることがありました。

  • SecurityVulnerabilityのpackageフィールドがGraphQL API経由でクエリできませんでした。

  • リポジトリをpublicからinternalに変更すると、無関係な支払いのメッセージが表示されました。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • Gistへのプッシュの際に、post-receiveフックの間に例外がトリガーされることがあります。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • 以前のバージョンからのアップグレードの際に、バックグラウンドジョブワーカーがspawnせず、Pull Requestのマージなどの重要な機能が動作しないことがあります。

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。(2020-06-23更新)

  • 複数のRedisノードでのクラスタ設定にデプロイされた際に、依存関係グラフが依存関係を検出しません。(2020-06-30更新)

Enterprise Server 2.20.4

Download

March 24, 2020

  • SAML認証リクエストとメタデータが厳密にエンコードされておらず、アイデンティティプロバイダによってはサービスプロバイダが開始した認証リクエストが正しく処理されません。

  • ghe-migratorのエクスポートにマイルストーンのユーザが含まれず、そのためインポート操作が失敗することがあります。

  • Gistへのプッシュの際に、post-receiveフックの間に例外がトリガーされることがあります。

  • 完全に複製されていないリポジトリを表示しようとする際に、ghe-repl-statusが失敗することがありました。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • Gistへのプッシュの際に、post-receiveフックの間に例外がトリガーされることがあります。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • 以前のバージョンからのアップグレードの際に、バックグラウンドジョブワーカーがspawnせず、Pull Requestのマージなどの重要な機能が動作しないことがあります。(2020-04-07更新)

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。(2020-06-23更新)

  • 複数のRedisノードでのクラスタ設定にデプロイされた際に、依存関係グラフが依存関係を検出しません。(2020-06-30更新)

Enterprise Server 2.20.3

Download

March 11, 2020

  • バックグラウンドワーカーの設定がカスタマイズされていると、アップグレード及び設定の更新が失敗します。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • Gistへのプッシュの際に、post-receiveフックの間に例外がトリガーされることがあります。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • 以前のバージョンからのアップグレードの際に、バックグラウンドジョブワーカーがspawnせず、Pull Requestのマージなどの重要な機能が動作しないことがあります。(2020-04-07更新)

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。(2020-06-23更新)

  • 複数のRedisノードでのクラスタ設定にデプロイされた際に、依存関係グラフが依存関係を検出しません。(2020-06-30更新)

Enterprise Server 2.20.2

Download

March 09, 2020

  • パッケージが最新のセキュリティバージョンに更新されました。

  • 主に監査ログで、転送されたログエントリが切り捨てられる場合がありました。

  • 一部の有効なライセンスに対してghe-license-checkコマンドラインユーティリティが"Invalid license file"エラーを返し、設定変更が失敗することがありました。

  • Alambic例外ログがsyslogによって転送されませんでした。

  • org_blockイベントは利用できませんが、GitHub Enterprise Server上のGitHub Appsに現れます。

  • GraphQLのクエリレスポンスがProtectedBranchオブジェクトのマッチしないノード識別子を返すことがあります。

  • GitHub Connectが使用するGitHub Appの認証情報が、期限切れ直後の更新に失敗しました。

  • Pull Requestコメントに対する返信としてコメントを残すと、保留されたPull Requestレビューを作成してしまうことがありました。

  • ghe-migratorを使ってGitHub.comからエクスポートすると、画像以外の添付ファイルのエクスポートが何も出力せずに失敗します。

  • UTF-8キャラクターがあると、pre-receiveフックがWeb UIで500エラーを返しました。

  • ghe-license-usage コマンドラインユーティリティには、新たな--unencryptedオプションによるエクスポートされたライセンス利用ファイルの可視化の提供が含まれます。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • Gistへのプッシュの際に、post-receiveフックの間に例外がトリガーされることがあります。

  • バックグラウンドワーカーの設定がカスタマイズされていると、アップグレード及び設定の更新が失敗します。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • 以前のバージョンからのアップグレードの際に、バックグラウンドジョブワーカーがspawnせず、Pull Requestのマージなどの重要な機能が動作しないことがあります。(2020-04-07更新)

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。(2020-06-23更新)

  • 複数のRedisノードでのクラスタ設定にデプロイされた際に、依存関係グラフが依存関係を検出しません。(2020-06-30更新)

Enterprise Server 2.20.1

Download

February 26, 2020

  • パッケージが最新のセキュリティバージョンに更新されました。

  • バックアップからのリストアがInvalid RDB version numberエラーで失敗します。

  • HAレプリカのアップグレードが、MySQLの起動を待って無期限に停止します。

  • "position"あるいは"original_position"に予期しない値を持つPRレビューコメントによって、インポートが失敗しました。

  • データベース内の重複するwebhookエントリによって、以前のバージョンからのアップグレードが失敗することがありました。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • Gistへのプッシュの際に、post-receiveフックの間に例外がトリガーされることがあります。

  • バックグラウンドワーカーの設定がカスタマイズされていると、アップグレード及び設定の更新が失敗します。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • 以前のバージョンからのアップグレードの際に、バックグラウンドジョブワーカーがspawnせず、Pull Requestのマージなどの重要な機能が動作しないことがあります。(2020-04-07更新)

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。(2020-06-23更新)

  • 複数のRedisノードでのクラスタ設定にデプロイされた際に、依存関係グラフが依存関係を検出しません。(2020-06-30更新)

Enterprise Server 2.20.0

Download

February 10, 2020

  • パッケージは最新のセキュリティバージョンにアップデートされました。

  • Organizationのメンバーが、そのOrganizationのパブリックリポジトリを表示させようとすると、SSOのプロンプトがページの表示を壊すことがありました。

  • ユーザのプロフィールを表示した場合、そのユーザのTeamへのリンクが壊れていることがありました。

  • maintainロールを持つ有ザーは、リポジトリのトピックスを編集できませんでした。

  • Organizationの管理者ではないユーザがサインアップページにアクセスしようとすると500エラーが返されることがありました。

  • 編集履歴のポップアップが、Gistのコメントに表示されないことがありました。

  • すでに登録済みのメールで新しいアカウントが登録できました。

  • ストレージサービスがファイルディスクプリプタの上限に達し、カーネルのハングや他のサービスでのエラーがログに残しました。

  • 自動リンクの参照がURLの一部になっていると、そのハイパーリンクが削除されることがありました。

  • Pull Requestにコメントを追加する際に、サイドバーのLinked Issuesセクションが消えてしまうことがありました。

  • ユーザに対する既存のOrganizationへの招待を編集している際に、Teamsの表に重複したヘッダが表示されることがありました。

  • キューが大きくなりすぎると、resquedサービスがイベントのロギングを停止してしまうことがありました。

  • クラスタ及び高可用設定に対するghe-config-apply コマンドの実行時に自己署名証明書が自動的に生成されません。

  • 誰もアップロードしていない場合、トピックに対するロゴが表示されません。

  • モバイルブラウザでIssueを表示すると、Issueのメタデータがページ上部にリストされてしまいます。

  • Consulのトップレベルドメインが".consul"から".ghe.local"に変更されました。

  • hookshotがElasticsearchに依存しなくなり、データベースストアとしてはMySQLだけを使うようになりました。

  • プロジェクトノートカードに、Issue、プロジェクト、ディスカッションの視覚的な区別の改善が実装されました。

  • Pull Requestのレビューにおいて、複数行コメントが切り詰められた場合に注意が表示されるようになりました。

  • ユーザは、個人設定ページのSecurity Logタブで監査ログを表示できます。

  • 新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。

  • カスタムのファイアウォールルールがアップデートの際に維持されません。

  • Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

  • ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。

  • Gistへのプッシュの際に、post-receiveフックの間に例外がトリガーされることがあります。

  • データベース中の重複したwebhookのエントリによって、以前のバージョンからのアップグレードが失敗することがあります。(2020-02-26に更新)

  • バックグラウンドワーカーの設定がカスタマイズされていると、アップグレード及び設定の更新が失敗します。

  • GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。

  • 以前のバージョンからのアップグレードの際に、バックグラウンドジョブワーカーがspawnせず、Pull Requestのマージなどの重要な機能が動作しないことがあります。(2020-04-07更新)

  • コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。(2020-06-23更新)

  • 複数のRedisノードでのクラスタ設定にデプロイされた際に、依存関係グラフが依存関係を検出しません。(2020-06-30更新)