Enterprise Server 2.21.23
DownloadJune, 10, 2021
📣 This is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
Packages have been updated to the latest security versions.
Import failures of organizations or repositories from non-GitHub sources could produce an
undefined method '[]' for nil:NilClass
error.
Users of the GraphQL API can query the public field
closingIssuesReferences
on thePullRequest
object. This field retrieves issues that will be automatically closed when the related pull request is merged. This approach will also allow this data to be migrated in future, as part of a higher fidelity migration process.
On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.
Custom firewall rules are removed during the upgrade process.
Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.
Issues cannot be closed if they contain a permalink to a blob in the same repository, where the blob's file path is longer than 255 characters.
When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.
Security alerts are not reported when pushing to a repository on the command line.
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.22
DownloadMay, 25, 2021
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
中: 特定の環境下で、TeamあるいはOrganizationから削除されたユーザは、オープンな既存のPull Requestを持つブランチへの書き込みアクセス権を持ったままになることがあります。
パッケージは最新のセキュリティバージョンにアップデートされました。
"Create Whitelist Entry"ボタンを使って管理者が追加したIPアドレスが、ロックアウトされたままになることがあります。
クラスタあるいはHA環境で、GitHub Pagesのビルドがセカンダリノードでトリガーされ、失敗することがあります。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
カスタムのファイアウォールのルールは、アップグレードの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
リポジトリへのプッシュをコマンドラインで行うと、セキュリティアラートが報告されません。
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.21
DownloadMay, 13, 2021
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
パッケージは最新のセキュリティバージョンにアップデートされました。
Orchestratorの自動フェイルオーバーが、設定の適用フェーズに有効化されることがあります。
リポジトリのメンテナ権限を持つユーザに、リポジトリのPagesの設定ページにおいて成功したページビルドの代わりにメール検証の警告が表示されました。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
カスタムのファイアウォールのルールは、アップグレードの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
リポジトリへのプッシュをコマンドラインで行うと、セキュリティアラートが報告されません。
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.20
DownloadApril, 28, 2021
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
パッケージは最新のセキュリティバージョンにアップデートされました。
MySQLのレプリケーションで実行されるセットアップスクリプトは、データベースのフェイルオーバーの際に不要なデータベースの再シードを引き起こすことがありました。
config-apply
は、不要なrake db:migrate
の呼び出しのために必要以上に時間がかかることがありました。オーケストレーターは、プライマリに接続できない場合のシーディングフェーズ中に、プライマリからレプリケーションをしていないMySQLレプリカにフェイルオーバーしてしまうことがありました。
エラーのあるOrganizationもしくはプロジェクトが移行をブロックし、除外できませんでした。
プリフライトチェックでは、デフォルトですべてのAWSのインスタンスタイプが許可されていました。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
カスタムのファイアウォールのルールは、アップグレードの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
リポジトリへのプッシュをコマンドラインで行うと、セキュリティアラートが報告されません。
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.19
DownloadApril, 14, 2021
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
パッケージは最新のセキュリティバージョンにアップデートされました。
レプリカの昇格中に
jq: error (at <stdin>:0): Cannot index number with string "settings"
という警告メッセージが生じることがあります。/settings/emails
ページにアクセスすると、ログアウトしてログインしなおしたときに不適切なリダイレクトの原因となりうる状態が保存されます。vulnerable_version_ranges
内に大文字のパッケージ名を持つアドバイザリを持つ一部のコンポーネントで、依存関係グラフのアラートが表示されませんでした。LDAP認証を設定されたインスタンス上でGitの操作を実行したユーザに500エラーが返されました。
ghe-migratorでインポートエラーが生じた際に、プロセス全体が中断され、ログに十分なコンテキストが含まれないことがあります。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
カスタムのファイアウォールのルールは、アップグレードの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
リポジトリへのプッシュをコマンドラインで行うと、セキュリティアラートが報告されません。
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.18
DownloadApril, 01, 2021
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
高: GitHub AppのWeb認証フローから生成されたアクセストークンに対し、適切な権限が許可されていなくてもREST APIを通じてプライベートなリポジトリのメタデータを読めるようにしてしまう、不適切なアクセス制御の脆弱性がGitHub Enterprise Serverで特定されました。この脆弱性を利用するには、攻撃者はそのインスタンス上でGitHub Appを作成し、Web認証フローを通じてそのアプリケーションを認証するユーザが必要です。返されるプライベートリポジトリのメタデータは、そのトークンが特定するユーザが所有するリポジトリに限定されます。この脆弱性は3.0.4以前のすべてのバージョンのGitHub Enterprise Serverに影響し、3.0.4、2.22.10、2.21.18で修正されました。この脆弱性にはCVE-2021-22865が割り当てられ、 GitHub Bug Bounty Programを通じて報告されました。
パッケージは最新のセキュリティバージョンにアップデートされました。
ログローテーションの一部としてサービスが新しいログファイルに移行せず、ディスクの使用量が増大しました。
インターナルリポジトリの検索結果上のラベルが"Internal"ではなく"Private"と表示されました。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
カスタムのファイアウォールのルールは、アップグレードの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
リポジトリへのプッシュをコマンドラインで行うと、セキュリティアラートが報告されません。
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.17
DownloadMarch, 23, 2021
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
複数のお客様に影響する重大なバグのため、ダウンロードは無効になりました。修正は次回のパッチで利用可能になります。
高: GitHubPagesのサイトをビルドする際に利用される可能性があるリモートコード実行の脆弱性が、GitHub Enterprise Serverで特定されました。GitHub Pagesが使用するユーザが制御する設定オプションが十分に厳密ではなく、環境変数を上書きできてしまい、GitHub Enterprise Serverインスタンス上でコマンドを実行できてしまいます。この脆弱性を利用するには、攻撃者はGitHub Enterprise Serverインスタンス上でGitHub Pagesのサイトを作成してビルドする権限を持っていなければなりません。この脆弱性は3.0.3以前のすべてのバージョンのGitHub Enterprise Serverに影響し、3.0.3、2.22.9、2.21.17で修正されました。この脆弱性はGitHub Bug Bountyプログラムを通じて報告され、CVE-2021-22864が割り当てられました。
パッケージは最新のセキュリティバージョンにアップデートされました。
ghe-cluster-config-init
の実行でバックグラウンドジョブの終了コードが完全に考慮されておらず、プリフライトチェックが不適切に処理されることにつながっていました。
ログが、時間に加えてサイズに基づいてローテートされます。
consulとnormadの
bootstrap_expect
に相対的な値を使用することによって、クラスタは少数のノードがダウンしている場合でもブートストラップできます。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
カスタムのファイアウォールのルールは、アップグレードの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
リポジトリへのプッシュをコマンドラインで行うと、セキュリティアラートが報告されません。
ログのローテーションが新しいログファイルへの移行をサービスに通知するのに失敗し、古いログファイルが使われ続け、最終的にルートディスクの領域が枯渇してしまうことがあります。 この問題を緩和し、回避するために、以下のコマンドを管理シェル (SSH)で実行するか、 GitHub Enterprise SupportあるいはGitHub Premium Supportに連絡して支援を求めてください。
printf "PATH=/usr/local/sbin:/usr/local/bin:/usr/local/share/enterprise:/usr/sbin:/usr/bin:/sbin:/bin\n29,59 * * * * root /usr/sbin/logrotate /etc/logrotate.conf\n" | sudo sponge /etc/cron.d/logrotate sudo /usr/sbin/logrotate -f /etc/logrotate.conf
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.16
DownloadMarch, 16, 2021
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
パッケージは最新のセキュリティバージョンにアップデートされました。
GitHub Enterprise Serverから、リポジトリのファイルがないリポジトリアーカイブをインポートすると、エラーで失敗します。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
カスタムのファイアウォールのルールは、アップグレードの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
リポジトリへのプッシュをコマンドラインで行うと、セキュリティアラートが報告されません。
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.15
DownloadMarch, 02, 2021
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
高: 特別な細工が行われたPull RequestやREST APIのリクエストを通じて、認可されていないリポジトリへの書き込みアクセスを、インスタンスの認証されたユーザが取得できてしまう、不適切なアクセス制御の脆弱性がGitHub Enterprise Serverで特定されました。攻撃者はターゲットのリポジトリをフォークできなければなりませんが、これはOrganizationが所有しているプライベートリポジトリではデフォルトで無効化されている設定です。必須のPull Requestレビューやステータスチェックといったブランチ保護で、さらなるレビューや検証なしに未認可のコミットがマージされることは避けられます。この脆弱性にはCVE-2021-22861が割り当てられました。この問題は、GitHub Bug Bounty Programを通じて報告されました。
高: 適切な認可なしに、Pull Requestのメンテナのコラボレーション権限を修正できる、不適切なアクセス制御の脆弱性がGitHub Enterprise Serverで特定されました。この脆弱性を突くことで、攻撃者は自分がメンテナになっているリポジトリでオープンされたPull Requestのheadブランチへのアクセスを得ることができます。Organizationが所有するプライベートリポジトリではフォークがデフォルトで無効になっており、この脆弱性を避けることができます。加えて、必須のPull Requestレビューやステータスチェックといったブランチ保護で、さらなるレビューや検証なしに未認可のコミットがマージされることは避けられます。この脆弱性にはCVE-2021-22863が割り当てられました。この問題は、GitHub Bug Bounty Programを通じて報告されました。
高: GitHubPagesのサイトをビルドする際に利用される可能性があるリモートコード実行の脆弱性が、GitHub Enterprise Serverで特定されました。GitHub Pagesが使用する下位層のパーサーのユーザが制御する設定が十分に厳密ではなく、GitHub Enterprise Serverインスタンス上でコマンドを実行することができてしまいます。この脆弱性を利用するには、攻撃者はGitHub Enterprise Serverインスタンス上でGitHub Pagesのサイトを作成してビルドする権限を持っていなければなりません。この脆弱性にはCVE-2020-10519が割り当てられ、GitHub Bug Bounty Programを通じて報告されました。
中: GitHub PagesのビルドからのGitHubトークンがログに残ることがあります。
低: CVNブリック時に対する特別に細工されたリクエストが、失敗までに長時間の待ちを発生させ、サービス拒否(DoS)につながることがあります。
パッケージは最新のセキュリティバージョンにアップデートされました。
ロードバランサーのヘルスチェックによって、babeldのログがPROXYプロトコルに関するエラーで埋め尽くされてしまうことがあります。
GitHub Enterprise Backup Utilitiesがスナップショットを取る際に、情報提供のメッセージが意図せずエラーとして記録され、そのためにcronジョブによってスケジュールされたstderrへの出力を待ち受けているバックアップの際に、不要なメールが送信されてしまいます。
大規模なバックアップをリストアする際に、Redisのメモリ枯渇に関する例外ログが、ディスクフルによってリストアを失敗させることがあります。
Wikiページを編集する際に、保存ボタンをクリックすると500エラーが返されることがあります。
サブジェクトの別名に複数の名前がある証明書を使ってS/MIME署名されたコミットで、誤ってコミットバッジに"Unverified"と表示されます。
サスペンドされたユーザがTeamに追加されると、メールが送信されます。
リポジトリが大量のマニフェストを持っていると、
You have reached the maximum number of allowed manifest files (20) for this repository
というエラーがInsights -> Dependency graphタブに表示されます。詳しい情報については可視化の制限を参照してください。以前のライセンスファイルとは異なるシート数の新しいライセンスファイルをアップロードすると、シート数の際がEnterpriseアカウントのSettings -> Licenseページで正しく表示されませんでした。
Enterpriseアカウント設定にある"Prevent repository admins from changing anonymous Git read access"チェックボックスが、正常に有効化または無効化できませんでした。
GitHub Pagesのビルドが失敗した場合、メール通知にサポートの場所への正しくないリンクが含まれました。
閏年に、月曜のコントリビューションアクティビティを表示させようとすると404レスポンスが返されました。
Exploreセクションへのアクセスが500 Internal Serverエラーで失敗しました。
AWS EC2 r5bインスタンスタイプのサポートを追加しました。
ジョブの配分をさらに均等にするために、バックグラウンドのキューの優先順位を調整しました。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
カスタムのファイアウォールのルールは、アップグレードの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
リポジトリへのプッシュをコマンドラインで行うと、セキュリティアラートが報告されません。
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.14
DownloadDecember, 17, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
低: SVNブリッジへの特別に細工されたリクエストによって引き起こされる高いCPU使用率によって、サービス拒否(DoS)が引き起こされる可能性がありました。
パッケージが最新のセキュリティバージョンに更新されました。
新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。
カスタムのファイアウォールルールがアップデートの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。
GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.13
DownloadDecember, 03, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
ブートストラップ時のレース条件により、認可サービスが不健全として検出され、再起動されることにつながりました。
下位の動作により、ホットパッチアップグレードのプロセス中に、サービスが利用できなくなりました
ログ転送SSL証明書の一部が正しく適用されませんでした。
サスペンドされたユーザがTeamあるいはOrganizationから削除されると、そのユーザにメール通知が送信されました。
SSH証明書の適用方法が、OrganizationとBusiness間で整合していませんでした。
不正確なパスワードの利用のためにアカウントにレート制限が適用された場合に、最大で24時間ロックアウトされることがありました。
多くの参照を持つリポジトリ上のPull Requestの同期が、ワーカーキューを遅れさせることがありました。
特定のページへのアクセスを試みた後にサインインすると、意図したアクセス先ではなくホームページにユーザが送られてしまいました。
新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。
カスタムのファイアウォールルールがアップデートの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。
GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.12
DownloadNovember, 17, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
パッケージが最新のセキュリティバージョンに更新されました。
baneldログに秒とマイクロ秒の間のセパレータが欠けていました。
Enterpriseアカウントの"Repository visibility change"ポリシーが"Enabled"に設定されている場合、OrganizationオーナーがOrganization内のリポジトリの可視性を変更できませんでした。
監査ログが実際のソースIDアドレスではなく、127.0.0.1に起因するものとされることがあります。
新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。
カスタムのファイアウォールルールがアップデートの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。
GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.11
DownloadNovember, 03, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
中: SVNブリッジへの特別に細工されたリクエストによって引き起こされる高いCPU使用率によって、サービス拒否(DoS)が引き起こされる可能性がありました。
低: 不正確なトークンの検証によって、認証中のトークンのマッチのためのエントロピーが減少しました。分析からは、実際には大きなセキュリティ上のリスクはないことが示されています。
パッケージが最新のセキュリティバージョンに更新されました。
非ASCIIキャラクタを含むファイル名のIssueテンプレートを編集すると、"500 Internal Server Error"で失敗します。
バックグラウンドジョブのメトリック収集方式のために、CPU使用率が増大しました。(2020-11-03更新)
新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。
カスタムのファイアウォールルールがアップデートの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。
GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。
監査ログが実際のソースIDアドレスではなく、127.0.0.1に起因するものとされることがあります。(--更新)
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.10
DownloadOctober, 20, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
パッケージが最新のセキュリティバージョンに更新されました。
Enterpriseアカウントの"Confirm two-factor requirement policy"メッセージが正しくありませんでした。
新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。
カスタムのファイアウォールルールがアップデートの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。
GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。
監査ログが実際のソースIDアドレスではなく、127.0.0.1に起因するものとされることがあります。(2020-11-02更新)
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.9
DownloadOctober, 09, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
LDAPディレクトリのユーザ名を標準化すると既存のGHESアカウントのログインになってしまうユーザが、その既存のアカウントとして認証されることがありました。
パッケージが最新のセキュリティバージョンに更新されました。
管理コンソールのNameID Fortmatドロップダウンが、"persistent"に設定された後に"unspecified"にリセットされます。
管理コンソール での設定の保存によって、TLS/SSLの証明書及びキーファイルに改行を追加してしまい、不必要に再ロードされるサービスが生じました。
依存関係グラフのシステムログがローテートされず、無制限にストレージを消費できてしまいました。
Resqueのワーカーのオーバーライドする設定が使われていると、アップグレードに失敗することがありました。
ghe-migrator
でリポジトリをインポートする際に、不整合なデータが存在していると、予期しない例外が生じることがありました。GitHubセキュリティアドバイザリへのリンクが、GitHub.comではなくGitHub Enterprise Serverインスタンスのホスト名を持つURLを使い、ユーザを存在しないURLにアクセスさせました。
エンタープライズアカウントのセキュリティ設定ページには、使用中の認証モードが二段階認証をサポートしていない場合、「組織の現在の設定を見る」リンクが表示されています。
ghe-migrator
を使ってPRレビューリクエストをインポートする際に、削除されたユーザに関連付けられたレコードによって関係性を持たないデータベースレコードが残ります。ghe-migrator
でユーザをインポートする際に、システムによって生成されたメールアドレスが100文字以上の長さになっていると、"Emails is invalid"エラーが生じます。webhookのアクティビティのログが大量のディスク領域を使い、ルートディスクが一杯になってしまいます。
AWS EC2のインスタンスタイプ
m5.16xlarge
のサポートが追加されました。ghe-migrator
アーカイブのSSHフィンガープリントはいつでも計算できるので、必須ではなくなりました。GitHub Appマニフェストに
request_oauth_on_install
フィールドが含まれるようになりました。
新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。
カスタムのファイアウォールルールがアップデートの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。
GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。
監査ログが実際のソースIDアドレスではなく、127.0.0.1に起因するものとされることがあります。(2020-11-02更新)
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.8
DownloadSeptember, 23, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
中: DSA-4715-1に対処するためにImageMagickがアップデートされました。
パッケージが最新のセキュリティバージョンに更新されました。
管理者は配信されたリポジトリのwebhookを見ることができず、代わりに"Sorry, something went wrong and we weren't able to fetch the deliveries for this hook"と表示されました。
新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。
カスタムのファイアウォールルールがアップデートの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。
GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。
監査ログが実際のソースIDアドレスではなく、127.0.0.1に起因するものとされることがあります。(2020-11-02更新)
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.7
DownloadSeptember, 08, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
サービスのへするチェックでセッションが増加し、ファイルシステムのinodeが枯渇しました。
ホットパッチを使用したアップグレードが
'libdbi1' was not found
というエラーで失敗することがありました。リポジトリの権限を
Triage
もしくはMaintain
に設定しようとしても、失敗しなくなりました。
新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。
カスタムのファイアウォールルールがアップデートの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。
GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。
監査ログが実際のソースIDアドレスではなく、127.0.0.1に起因するものとされることがあります。(2020-11-02更新)
When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.6
DownloadAugust, 26, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
CRITICAL: A remote code execution vulnerability was identified in GitHub Pages that could be exploited when building a GitHub Pages site. User-controlled configuration of the underlying parsers used by GitHub Pages were not sufficiently restricted and made it possible to execute commands on the GitHub Enterprise Server instance. To exploit this vulnerability, an attacker would need permission to create and build a GitHub Pages site on the GitHub Enterprise Server instance. This vulnerability affected all versions of GitHub Enterprise Server. The underlying issues contributing to this vulnerability were identified both internally and through the GitHub Security Bug Bounty program. We have issued CVE-2020-10518.
MEDIUM: An improper access control vulnerability was identified that allowed authenticated users of the instance to determine the names of unauthorized private repositories given their numerical IDs. This vulnerability did not allow unauthorized access to any repository content besides the name. This vulnerability affected all versions of GitHub Enterprise Server prior to 2.22 and has been assigned CVE-2020-10517. The vulnerability was reported via the GitHub Bug Bounty program.
Packages have been updated to the latest security versions.
A message was not logged when the ghe-config-apply process had finished running ghe-es-auto-expand.
Excessive logging to the
syslog
file could occur on high-availability replicas if the primary appliance is unavailable.Database re-seeding on a replica could fail with an error:
Got packet bigger than 'max_allowed_packet'
In some cases duplicate user data could cause a 500 error while running the ghe-license-usage script.
Using
ghe-migrator
, theadd
command would fail to lock a repository when using the--lock
flag.
In a high availability or geo-replication configuration, replica instances would exit maintenance mode when ghe-config-apply ran.
We've added support for the R5a and R5n AWS instance types.
Removed the license seat count information on the administrative SSH MOTD due to a performance issue impacting GitHub Enterprise Server clusters.
On a freshly set up GitHub Enterprise Server without any users, an attacker could create the first admin user.
Custom firewall rules are not maintained during an upgrade.
Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.
Issues cannot be closed if they contain a permalink to a blob in the same repository where the file path is longer than 255 characters.
When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.
Security alerts are not reported when pushing to a repository on the command line.
Audit logs may be attributed to 127.0.0.1 instead of the actual source IP address. (updated 2020-11-02)
Configuring a repository's permission to
Triage
orMaintain
fails with an error message.When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.5
DownloadAugust, 12, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
システム設定のテンプレートを生成する間にCPU使用率を高くしてしまうことがある問題を解決しました。
メモリ割り当てへの最近の変更により、システムパフォーマンスが低下することがありました。
データベースの移行を実行中の一時的な接続の問題によって、データの損失が生じることがあります。
新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。
カスタムのファイアウォールルールがアップデートの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。
GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。
監査ログが実際のソースIDアドレスではなく、127.0.0.1に起因するものとされることがあります。(2020-11-02更新)
リポジトリの権限を
Triage
もしくはMaintain
に設定しようとすると、失敗してエラーメッセージが表示されます。When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.4
DownloadAugust, 11, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
重大: 攻撃者がGitHub Pagesのサイトの構築の一部としてコマンドを実行できる、リモートコード実行の脆弱性がGitHub Pagesで特定されました。この問題は、Pagesのビルドプロセスで使われている古くて脆弱性のある依存関係によるものです。この脆弱性を突くには、攻撃者はGitHub Enterprise Serverインスタンス上でGitHub Pagesのサイトを作成して構築する権限を持っていなければなりません。この脆弱性は、GitHub Enterprise Serverのすべてのバージョンに影響します。この脆弱性を緩和するために、CVE-2020-14001への対応でkramdownがアップデートされました。
高: GitHub Enterprise Server上で実行されるGitのサブコマンドに、攻撃者が悪意ある引数をインジェクトすることができました。これによって、攻撃者は部分的にユーザが制御する内容で任意のファイルを上書きでき、GitHub Enterprise Serverインスタンス上で任意のコマンドを実行できる可能性がありました。この脆弱性を突くためには、攻撃者はGHESインスタンス内のリポジトリへのアクセス権限を持っていなければなりません。しかし、他の保護があるので、この脆弱性を積極的に突く方法は特定できませんでした。この脆弱性はGitHub Security Bug Bountyプログラムを通じて報告されました。
パッケージが最新のセキュリティバージョンに更新されました。
Consulの設定エラーによって、スタンドアローンインスタンス上で処理されないバックグランドジョブがありました。
サービスのメモリ割り当ての計算が、サービスに不正確もしくは無制限の割り当てを行い、システムのパフォーマンスを低下させることがありました。
oVirt KVMシステムの可視化プラットフォームが適切に検出されず、アップグレードの際に問題を生じさせていました。
Gitコマンドラインからのパスワードでの不正な認証のエラーメッセージが、適切なトークンもしくはSSHキーを追加するためのURLリンクを展開しませんでした。
Issueテンプレート機能を使ってユーザリポジトリ上にIssueを作成すると、Internal Server Errorで失敗することがありました。
Exploreセクションへのアクセスが500 Internal Server errorで失敗しました。
新しいインスタンスに移行したリポジトリ上で最近の更新でIssueをソートできませんでした。
GitHub Connectが、非推奨のGitHub.com APIエンドポイントを使用していました。
バックグラウンドジョブのための内部メトリクスの収集によって、不必要なCPUとメモリの使用に影響しました。
404ページのフッタに、GitHub.comの連絡先とステータスリンクが含まれていました。
未リリースの機能のためのバックグラウンドジョブがキューに積まれ、処理されないままになりました。
新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。
カスタムのファイアウォールルールがアップデートの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。
GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。
監査ログが実際のソースIDアドレスではなく、127.0.0.1に起因するものとされることがあります。(2020-11-02更新)
リポジトリの権限を
Triage
もしくはMaintain
に設定しようとすると、失敗してエラーメッセージが表示されます。When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.3
DownloadJuly, 21, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
パッケージが最新のセキュリティバージョンに更新されました。
大きな画面において、管理コンソースのモニターグラフが適切に表示されないことがあります。
SameSiteクッキーポリシーが適用されている場合に、GitHub Appマニフェストが作成したフローが利用できない状況がありました。
状況によっては、'Explore'ページにアクセスするとアプリケーションエラーが生じます。
新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。
カスタムのファイアウォールルールがアップデートの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。
GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。
監査ログが実際のソースIDアドレスではなく、127.0.0.1に起因するものとされることがあります。(2020-11-02更新)
リポジトリの権限を
Triage
もしくはMaintain
に設定しようとすると、失敗してエラーメッセージが表示されます。When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.2
DownloadJuly, 09, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
中: nginxを1.16.1にアップデートし、CVE-2019-20372に対応しました。(2020-07-22更新)
パッケージが最新のセキュリティバージョンに更新されました。
特定のログファイルが7日ごとにローテートされませんでした。
webhookのソースポートの頻繁な再利用によって、接続が拒否されました。
正しくないバックグラウンドジョブが、パッシブレプリカとして設定されたインスタンス上で動作しようとすることがありました。
ノード間のVPNが不安定になり、そのためにエラーがログに記録され、ルートボリュームの空き領域が枯渇することがあります。
SAMLが有効になっているOrganizationで、インターナルリポジトリが検索結果に正しく含まれていませんでした。
新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。
カスタムのファイアウォールルールがアップデートの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。
GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。
監査ログが実際のソースIDアドレスではなく、127.0.0.1に起因するものとされることがあります。(2020-11-02更新)
リポジトリの権限を
Triage
もしくはMaintain
に設定しようとすると、失敗してエラーメッセージが表示されます。When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.1
DownloadJune, 23, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
パッケージが最新のセキュリティバージョンに更新されました。
転送のメカニズムとしてUDPが使用されている場合に、過度に大きなログイベントによってログのフォワーディングが不安定になることがありました。
MySQLにアクセスするために使われる内部的な通信サービスが、アップグレードのプロセスの一部を含め、必要以上の頻度で再起動することがあり、それによってアップグレードが部分的に失敗することがありました。来期道の頻度を引き下げ、コードをより頑健にしました。
SSO経由のユーザの自動サスペンション解除が、すでにユーザアカウントに関連づけられているキーがSSHキーの属性にある場合に完了しませんでした。
インターナルリポジトリへのプルアクセス権を持つビジネスメンバーについて、REST APIからのリポジトリ権限のハッシュがアクセス権を持たないと示していました。
"Repository issue deletion" Enterpriseアカウントポリシーが、現在保存されている設定を反映しませんでした。
監査ログにブランチ保護の変更イベントが含まれていませんでした。
新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。
カスタムのファイアウォールルールがアップデートの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。
GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。
監査ログが実際のソースIDアドレスではなく、127.0.0.1に起因するものとされることがあります。(2020-11-02更新)
リポジトリの権限を
Triage
もしくはMaintain
に設定しようとすると、失敗してエラーメッセージが表示されます。When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.
Enterprise Server 2.21.0
DownloadJune, 09, 2020
📣 This is not the latest patch release of this release series, and this is not the latest release of Enterprise Server. 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
ユーザは、web通知からアクセスする際に、Issue、Pull Request、その他の課題に関する通知を管理できます。
複数行の提案によって、ユーザはPull Requestのレビューの際に複数行のコードに対して特定の変更を提案できます。
リポジトリへの書き込みアクセス権を持つユーザが["複製"としてIssueあるいはPull Requestのコメントを隠す]ことができる(https://help.github.com/en/enterprise/2.21/user/github/building-a-strong-community/managing-disruptive-comments#hiding-a-comment)。
テンプレートからリポジトリを作成する際に、ユーザがデフォルトブランチだけではなく、すべてのブランチを含めるよう選択できる。
ユーザがどの開発作業がIssueに関係しているかをプロジェクトボードから直接見ることができるよう、[IssueのプロジェクトカードがリンクされたPull Requestのセクションを含む(https://github.blog/changelog/2020-02-04-project-issue-cards-include-linked-pull-requests/) ようになりました。
Reactions APIに["リアクションの削除"エンドポイント]の新しいセット(https://developer.github.com/changes/2020-02-26-new-delete-reactions-endpoints/)があります。既存の"リアクションの削除”エンドポイントは、2021年の早い時期に非推奨になります。
[Teams APIエンドポイント]の新しいセット(https://developer.github.com/changes/2020-01-21-moving-the-team-api-endpoints/) があり、これによってGitHubはスケールして長期間にわたってTeams APIをサポートできるようになりました。既存のAPIエンドポイントは、2021の早期に非推奨になります。
ユーザは、Pull Requestの説明でキーワードをクローズせずにIssueとPull Request間のリンクを作成できます。
高: Organizationのメンバーが権限を昇格させ、Organization内の認可されていないリポジトリへのアクセスを取得できてしまう不適切なアクセス制御の脆弱性が、GitHub Enterprise Server APIで特定されました。この脆弱性は、2.21以前のすべてのGitHub Enterprise Serverに影響します。この問題に対応して、CVE-2020-10516を発行しました。この脆弱性は、GitHubバグバウンティプログラムで報告されました。
プッシュアクセス権を持つユーザが他のユーザのコメントを最小化した場合、コメントの作者は十分な権限を持っていない場合であっても最小化を解除できてしまいました。
ユーザが意図せずIssueテンプレートエディタやblobエディタからmasterにマージできてしまいました。
ユーザがGitHubからアカウントを削除した際に、監査ログのレコードは正しくOrganizationの削除レコードを示しませんでした。
現在のユーザのGistのアバターが存在しないURLにリンクします。
Organizationのリポジトリタブのカウントに、インターナルリポジトリが含まれませんでした。
リポジトリの委譲時に"Show All Teams"ボタンをクリックすると、500エラーが生じました。
diffファイルビュー上で'Changed since last view'ラベルもしくは'Show rich'のdiffトグルを表示する際に、長いファイル名によってオーバーフローの問題が生じることがありました。
OrganizationのTeamのためのホバーカードが、メンバーのサイズを間違って報告していました。
Pull Requestのレビューコメントのポップアップウィンドウに、スクロールの問題がありました。
Haproxyが飽和して、gitの操作が遅くなることがありました。
HAレプリカの昇格の後、依存関係グラフの機能が自動的に有効になりませんでした。
大量のドラフトのPull Requestを持つリポジトリのリリースインデックスページで、タイムアウトが生じることがありました。
同時に状態とドラフトの両方でPull Requestをフィルタすることができませんでした。
Pull Requestがサブモジュールポインタを変更した場合、Pull Requestのページの"Files changed"タブからサブモジュールファイル上の"Edit file"をクリックすると、404エラーが生じました。
Organizationからすべてのユーザと管理者を一括削除した後、そのOrganizationにユーザを追加したり、そのOrganizationを削除したりすることができませんでした。
ファイル名に発音区別符号と非ラテン文字をファイル名に含むファイルに対する"Files changed"ページのレビューコメントが、ページがリロードすると消えます。
"Viewed" チェックボックスの状態は、"Files changed"ページのファイル名に発音区別符号と非ラテン文字を含むファイルに対して保持されませんでした。
すべての必須レビューが揃っていない場合にPull Requestが"Approved"バッジを表示していました。
100以上のタグを持つリポジトリでタグを検索する際に、タグのドロップダウンが空になっていました。
非UTF-8のタイトルを持つアノテーションを表示するPull Requestのページで、表示のレンダリングの際にエンコーディングエラーが生じることがありました。
OAuthページのリフレッシュのレース条件により、リダイレクトが2回実行されることがありました。
10以上のトークンがある場合、"Personal Access Tokens"ページがタイムアウトします。
スケジュールされたLDAPのユーザとTeamの同期ジョブが、以前のスケジュールされた同期のジョブがまだ進行中であっても開始されてしまうことがありました。同期のジョブが実行中の場合に新しい同期ジョブが開始されてしまうのを避けるために、ロックのメカニズムが実装されました。
LDAPの同期でのLDAPユーザの再アクティベートを無効化できるようになりました。
プッシュ保護されたブランチの文言が更新され、管理者は常にプッシュでき、Maintainロールを持つユーザはステータスチェックをパスした場合にプッシュできることが明確化されました。
提案が元のテキストと同じ場合、空のコミットを防止します。
REST APIを通じて、コミットに関連づけられたdiff中のより多くのファイルを取得する方法として、ページネーションがサポートされました。
管理者は、
ghe-webhook-manage
を使ってコマンドラインからwebhook IDを利用してwebhookの有効化、無効化、削除、検索を行えます。マージされたPull Requestに対する手動のhead参照のクリーンアップが行われた後、自動のベース再ターゲティングが行われます。
SVGファイルはdiffビュー内でテキスト及び画像として扱われます。
REST APIを使用してリポジトリの作成や更新を行う際に、"auto delete branches on merge"を設定できます。
REST APIを通じてデプロイメントを削除する、新しいエンドポイントが追加されました。
管理者はセキュリティアラートを有効にしながら、それらのアラートからのすべての通知を無効化できます。
Pagesのログは、GitHub Pagesのサイトにアクセスしたユーザログインを示します。
Enterpriseのメンバーは、
https://[ghes-hostname]/enterprises/[account-name]
にアクセスすることによって所属するすべてのOrganizationをEnterpriseアカウントの一部として1つのビューで見ることができます。トリアージと保守のロールのためのREST APIサポートが拡張されました。
ユーザは、
@me
検索構文を使って、現在のユーザに解決される検索クエリを作成して共有できます。新しいIssueのテンプレート設定オプションが[added]されました(https://github.blog/changelog/2019-10-28-new-issue-template-configuration-options/)。
MySQLのバックアップ及びリストアの完了の信頼性と時間が改善されました。
Issueサイドバー、Issueカード、Issueリスト内のPull RequestとIssueの参照の可視性が改善されました。
linked:pr
あるいはlinked:issue
でユーザがフィルタリングや検索ができるようになりました。クラスタデプロイメントにおいて、単一リージョン内でMySQLの自動フェイルオーバーが可能になりました。
リリースページで、ユーザが2つのリリース間のタグを比較して、どういった変更が行われたかを判断できるようになりました。
Pull Requestのタイムラインにおいて、古くなったコメントがデフォルトで折りたたまれなくなりました。スレッドを解決すれば、それらを折りたたむことができます。
管理者は、"Reserved logins"スタッフツールタブにアクセスすることによって、内部利用のために予約されたログインのリストを見ることができます。
新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。
カスタムのファイアウォールルールがアップデートの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。
Gistへのプッシュの際に、post-receiveフックの間に例外がトリガーされることがあります。
GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
コマンドラインでリポジトリにプッシュした際に、セキュリティアラートが報告されません。(2020-06-23更新)
監査ログが実際のソースIDアドレスではなく、127.0.0.1に起因するものとされることがあります。(2020-11-02更新)
リポジトリの権限を
Triage
もしくはMaintain
に設定しようとすると、失敗してエラーメッセージが表示されます。When a replica node is offline in a high availability configuration, GitHub Enterprise Server may still route GitHub Pages requests to the offline node, reducing the availability of GitHub Pages for users.