Enterprise Server 2.22.22
DownloadSeptember, 24, 2021
📣 これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
高: GitHub Pagesのサイトをビルドする際に利用される可能性があるパストラバーサルの脆弱性が、GitHub Enterprise Serverで特定されました。GitHub Pagesが使用する、ユーザが制御する設定が十分に厳密ではなく、GitHub Enterprise Serverインスタンス上でファイルを読めてしまいます。この脆弱性を利用するには、攻撃者はGitHub Enterprise Serverインスタンス上でGitHub Pagesのサイトを作成してビルドする権限を持っていなければなりません。この脆弱性は3.1.8以前のすべてのGitHub Enterprise Serverのバージョンに影響し、3.1.8、3.0.16、2.22.22で修正されました。これは、CVE-2021-22867に対する不完全な修正の結果です。この脆弱性はGitHub Bug Bounty Programを通じて報告され、CVE-2020-22868が割り当てられました。
ソースインスタンスのGitHub Connect設定が、
ghe-restore
の--config
オプションが使われていない場合でも、常に新しいインスタンスにリストアされました。これによって、ソース及び宛先のインスタンスがともにオンラインになっている場合に、GitHub Connectの接続とライセンス同期で衝突が起きることになります。GitHub Pagesビルドが修正され、アプライアンスのNO_PROXY設定を考慮に入れるようになりました。これが関係するのは、HTTPプロキシと設定されたアプライアンスのみです。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
"Users can search GitHub.com" がGitHub Connectと合わせて有効化されている場合、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.21
DownloadSeptember, 07, 2021
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
パッケージは最新のセキュリティバージョンにアップデートされました。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.20
DownloadAugust, 24, 2021
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
パッケージは最新のセキュリティバージョンにアップデートされました。
自動アップデートに関係するJournaldのメッセージ (
Adding h/m/s random time.
)が、syslogに記録されました。リクエストに失敗する内部APIへのGitフックが、明示的な
nil
を返す代わりにundefined method body for "success":String (NoMethodError)
という例外を返しました。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.19
DownloadAugust, 10, 2021
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
"Repository creation" Organizationの設定に対する変更の監査ログエントリが不正確でした。
不正利用レート制限は、セカンダリレート制限と呼ばれるようになりました。これは、これによって制限されるのが必ずしも不正利用とは限らないためです。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.18
DownloadJuly, 27, 2021
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
パッケージは最新のセキュリティバージョンにアップデートされました。
依存関係グラフが有効化されておらず、コンテンツ分析が有効化されている状態で、スケジュールジョブがGitHub.comと脆弱性を同期しようとすると、大量の503エラーが発生しました。
HTTPプロキシを使用するユーザでは、Pagesのコンテナビルドの認証されていないHTTPプロキシはサポートされていませんでした。
babeld
のログには、ネゴシエーションリクエストの際だけではなく、HTTP参照広告リクエストのcmd
フィールドが含まれるようになりました。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.17
DownloadJuly, 14, 2021
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
高: GitHubPagesのサイトをビルドする際に利用される可能性があるパストラバーサルの脆弱性が、GitHub Enterprise Serverで特定されました。GitHub Pagesが使用するユーザが制御する設定オプションが十分に厳密ではなく、GitHub Enterprise Serverインスタンス上のファイルを読めてしまいます。この脆弱性を利用するには、攻撃者はGitHub Enterprise Serverインスタンス上でGitHub Pagesのサイトを作成してビルドする権限を持っていなければなりません。この脆弱性は3.1.3以前のすべてのバージョンのGitHub Enterprise Serverに影響し、CVE-2021-22867が割り当てられました。この脆弱性はGitHub Bug Bountyプログラムを通じて報告されました。
パッケージは最新のセキュリティバージョンにアップデートされました。
ghe-cluster-config-node-init
は、HTTPプロキシが有効化されているとクラスタのセットアップの間に失敗します。collectdは、初期のセットアップ後にフォワード先のホスト名を解決しません。
古い柵得除されたリポジトリをパージするジョブは、それらのリポジトリの中に訴訟ホールドによって削除から保護されているものがある場合、処理を進められないことがあります。
LDAP認証モードを使うインスタンスにおいて、Git pushがユーザ照合プロセス中に500 Internal Server Errorになることがあります。
依存関係グラフが有効化されていない場合、ユーザがリポジトリの
/settings
ページにアクセスするたびに大量の503エラーが記録されました。
変更されなかったIP許可ファイアウォールルールをスキップすることによって、設定適用の効率性が改善されました。これは大規模なクラスタでは大きな時間の節約になります。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.16
DownloadJune, 24, 2021
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
パッケージは最新のセキュリティバージョンにアップデートされました。
Google Cloud Plafform上で動作するインスタンスにおいて、sshdサービスが起動に失敗することがあります。
古いアップグレードファイルがユーザディスクに残り、空き領域がなくなる状況になることがあります。
アーカイブに存在しないTeamからのレビューリクエストが含まれている場合、エクスポートされたアーカイブのPull Requestのインポートが通知なく失敗します。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.15
DownloadJune, 10, 2021
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
パッケージは最新のセキュリティバージョンにアップデートされました。
GitHub以外のソースからのOrganizationあるいはリポジトリのインポートの失敗が、
undefined method '[]' for nil:NilClass
エラーを生じさせることがあります。SAML認証を使っていて、GitHubのプロフィール名が管理コンソールの
Full name
フィールドにマップされる属性の値とマッチしない場合、GitHubのプロフィール名が意図せず変更されてしまうことがあります。
GraphQL APIのユーザが、
PullRequest
オブジェクトの公開フィールドのclosingIssuesReferences
に対するクエリを行えます。このフィールドは、関連するPull Requestがマージされたときに自動的にクローズされるIssueを取得します。このアプローチは、より忠実度の高い移行プロセスの一部として、このデータが将来移行されることも可能にします。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
アップグレードの過程で、カスタムのファイアウォールのルールが削除されます。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.14
DownloadMay, 25, 2021
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
中: 特定の環境下で、TeamあるいはOrganizationから削除されたユーザは、オープンな既存のPull Requestを持つブランチへの書き込みアクセス権を持ったままになることがあります。
パッケージは最新のセキュリティバージョンにアップデートされました。
MySQLでの通常のレプリケーションの遅延で警告が生じました。
"Create Whitelist Entry"ボタンを使って管理者が追加したIPアドレスが、ロックアウトされたままになることがあります。
spokesd
が"fixing placement skipped"というフレーズを含む過剰なログのエントリを生成しました。
4ヶ月以上経過したチェックアノテーションがアーカイブされます。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
カスタムのファイアウォールのルールは、アップグレードの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.13
DownloadMay, 13, 2021
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
高: GitHub Enterprise Serverにおいて、GitHub Appのユーザ認証Webフローの間に、承認の際にユーザに表示される以上の権限が付与されてしまうUIの表現ミスの脆弱性が特定されました。この脆弱性を突くには、攻撃者はインスタンス上にGitHub Appを作成し、ユーザがそのアプリケーションをWeb認証フローを通じて認可する必要があります。最初の認可の際にはすべての権限が適切に付与されますが、特定の環境下では、GitHub Appに追加のユーザレベルの権限が設定された後、ユーザが認可フローに再アクセスすると、それらの追加権限が表示されないことがあり、ユーザが潜在的に意図していた以上の権限が付与されることにつながります。この脆弱性は3.0.7以前のGitHub Enterprise Server 3.0.x及び2.22.13以前の2.22.xに影響します。これはバージョン3.07及び2.22.13で修正されました。この脆弱性にはCVE-2021-22866が割り当てられ、GitHub Bug Bounty Programを通じて報告されました。
パッケージは最新のセキュリティバージョンにアップデートされました。
Orchestratorの自動フェイルオーバーが、設定の適用フェーズに有効化されることがあります。
リポジトリのメンテナ権限を持つユーザに、リポジトリのPagesの設定ページにおいて成功したページビルドの代わりにメール検証の警告が表示されました。
ワイルドカードルールのコードオーナーは、後のルールがそのパスに対して優先されるものであっても、コードオーナーバッジの所有者のリストに間違って追加されます。
OpenAPIのドキュメンテーションが無効なヘッダを参照しています。
HAProxyのリロード時の設定変更に対するログを追加しました。
リポジトリ作成に対するログを追加しました。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
カスタムのファイアウォールのルールは、アップグレードの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.12
DownloadApril, 28, 2021
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
パッケージは最新のセキュリティバージョンにアップデートされました。
アップグレード中に、
cleanup nomad job
の後プロセスが無期限に一時停止されます。ghe-cluster-failover
がTrilogy::Error: trilogy_connect
というエラーメッセージで失敗します。ghe-cluster-status-mysql
がフェイルオーバーに関する警告をエラーとして表示します。MySQLのレプリケーションで実行されるセットアップスクリプトは、データベースのフェイルオーバーの際に不要なデータベースの再シードを引き起こすことがありました。
config-apply
は、不要なrake db:migrate
の呼び出しのために必要以上に時間がかかることがありました。オーケストレーターは、プライマリに接続できない場合のシーディングフェーズ中に、プライマリからレプリケーションをしていないMySQLレプリカにフェイルオーバーしてしまうことがありました。
エラーのあるOrganizationもしくはプロジェクトが移行をブロックし、除外できませんでした。
3つ以上のストレージホストを持つお客様が、空のノードではなく最も使われているディスクが選択されるために、ディザスタリカバリクラスタへリストアできませんでした。
プリフライトチェックでは、デフォルトですべてのAWSのインスタンスタイプが許可されていました。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
カスタムのファイアウォールのルールは、アップグレードの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.11
DownloadApril, 14, 2021
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
パッケージは最新のセキュリティバージョンにアップデートされました。
レプリカの昇格中に
jq: error (at <stdin>:0): Cannot index number with string "settings"
という警告メッセージが生じることがあります。MySQLのレプリカがプライマリへの接続に失敗することによって、継続的なバックアップのクラスタへのリストアが失敗することがありました。
Treelightsコンテナのメモリ不足によって、構文強調が失敗することがありました。
/settings/emails
ページにアクセスすると、ログアウトしてログインしなおしたときに不適切なリダイレクトの原因となりうる状態が保存されます。vulnerable_version_ranges
内に大文字のパッケージ名を持つアドバイザリを持つ一部のコンポーネントで、依存関係グラフのアラートが表示されませんでした。GitHubインテグレーションアプリケーションは、Issueコメント内のat-メンションで直接メンションされたときにTeamに通知できませんでした。
ghe-migratorでインポートエラーが生じた際に、プロセス全体が中断され、ログに十分なコンテキストが含まれないことがあります。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
カスタムのファイアウォールのルールは、アップグレードの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.10
DownloadApril, 01, 2021
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
高: GitHub AppのWeb認証フローから生成されたアクセストークンに対し、適切な権限が許可されていなくてもREST APIを通じてプライベートなリポジトリのメタデータを読めるようにしてしまう、不適切なアクセス制御の脆弱性がGitHub Enterprise Serverで特定されました。この脆弱性を利用するには、攻撃者はそのインスタンス上でGitHub Appを作成し、Web認証フローを通じてそのアプリケーションを認証するユーザが必要です。返されるプライベートリポジトリのメタデータは、そのトークンが特定するユーザが所有するリポジトリに限定されます。この脆弱性は3.0.4以前のすべてのバージョンのGitHub Enterprise Serverに影響し、3.0.4、2.22.10、2.21.18で修正されました。この脆弱性にはCVE-2021-22865が割り当てられ、 GitHub Bug Bounty Programを通じて報告されました。
パッケージは最新のセキュリティバージョンにアップデートされました。
GitHub Enterprise 11.10.x以前で設定されたタイムゾーンが一部のサービスで利用されず、デフォルトのUTC時間になっていました。
ログローテーションの一部としてサービスが新しいログファイルに移行せず、ディスクの使用量が増大しました。
インターナルリポジトリの検索結果上のラベルが"Internal"ではなく"Private"と表示されました。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
カスタムのファイアウォールのルールは、アップグレードの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.9
DownloadMarch, 23, 2021
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
複数のお客様に影響する重大なバグのため、ダウンロードは無効になりました。修正は次回のパッチで利用可能になります。
高: GitHubPagesのサイトをビルドする際に利用される可能性があるリモートコード実行の脆弱性が、GitHub Enterprise Serverで特定されました。GitHub Pagesが使用するユーザが制御する設定オプションが十分に厳密ではなく、環境変数を上書きできてしまい、GitHub Enterprise Serverインスタンス上でコマンドを実行できてしまいます。この脆弱性を利用するには、攻撃者はGitHub Enterprise Serverインスタンス上でGitHub Pagesのサイトを作成してビルドする権限を持っていなければなりません。この脆弱性は3.0.3以前のすべてのバージョンのGitHub Enterprise Serverに影響し、3.0.3、2.22.9、2.21.17で修正されました。この脆弱性はGitHub Bug Bountyプログラムを通じて報告され、CVE-2021-22864が割り当てられました。
パッケージは最新のセキュリティバージョンにアップデートされました。
ghe-cluster-config-init
を実行すると、クラスタが動作しなくなることがありました。システムがHAProxyのPIDを見失うことがありました。
成功したフェイルオーバーの後、mysql-failoverの警告が無期限に表示されました。
ghe-cluster-config-init
の実行でバックグラウンドジョブの終了コードが完全に考慮されておらず、プリフライトチェックが不適切に処理されることにつながっていました。リポジトリのSettingsページの左側のナビゲーションに、Security & Analysisのリンクが表示されませんでした。
GitHub Packagesを無効化した後、HTTP 500エラーレスポンスを返すOrganizationのページがあります。
GitHub Enterprise Server 3.0に含まれているのを同じ再起動ポリシーを実装することによって、normadサービスの信頼性を改善しました。
consulとnormadの
bootstrap_expect
に相対的な値を使用することによって、クラスタは少数のノードがダウンしている場合でもブートストラップできます。ログが、時間に加えてサイズに基づいてローテートされます。
ghe-cluster-status
コマンドにkafka-liteを追加しました。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
カスタムのファイアウォールのルールは、アップグレードの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
ログのローテーションが新しいログファイルへの移行をサービスに通知するのに失敗し、古いログファイルが使われ続け、最終的にルートディスクの領域が枯渇してしまうことがあります。 この問題を緩和し、回避するために、以下のコマンドを管理シェル (SSH)で実行するか、 GitHub Enterprise Supportに連絡して支援を求めてください。
printf "PATH=/usr/local/sbin:/usr/local/bin:/usr/local/share/enterprise:/usr/sbin:/usr/bin:/sbin:/bin\n29,59 * * * * root /usr/sbin/logrotate /etc/logrotate.conf\n" | sudo sponge /etc/cron.d/logrotate sudo /usr/sbin/logrotate -f /etc/logrotate.conf
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.8
DownloadMarch, 16, 2021
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
パッケージは最新のセキュリティバージョンにアップデートされました。
Systemdのジャーナルログが複数の場所で複製されました。
サイト管理者がプライベートリポジトリから参照されているIssueを見ようとすると、500エラーページが返されることがありました。
GitHub Enterprise Serverから、リポジトリのファイルがないリポジトリアーカイブをインポートすると、エラーで失敗します。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
カスタムのファイアウォールのルールは、アップグレードの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
ユーザは、アバターのようなアセットがロードされないことや、コードのプッシュ/プルの失敗を体験するかもしれません。これは、
haproxy-cluster-proxy
サービス内のPIDミスマッチによって生じることがあります。影響されたインスタンスがあるかは、以下のようにして判断します。単一インスタンス
-
以下を管理シェル (SSH)で実行してください:
if [ $(cat /var/run/haproxy-cluster-proxy.pid) -ne $(systemctl show --property MainPID --value haproxy-cluster-proxy) ]; then echo 'Main PID of haproxy-cluster-proxy does not match /var/run/haproxy-cluster-proxy.pid'; fi
-
ミスマッチがあると表示されたら、インスタンスを再起動してください。
クラスタもしくはHigh Availability構成
-
以下を管理シェル (SSH)で実行してください:
ghe-cluster-each -- 'if [ $(cat /var/run/haproxy-cluster-proxy.pid) -ne $(systemctl show --property MainPID --value haproxy-cluster-proxy) ]; then echo 'Main PID of haproxy-cluster-proxy does not match /var/run/haproxy-cluster-proxy.pid'; fi'
-
1つ以上のノードが影響されていると表示されたら、影響されているノードを再起動してください。
-
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.7
DownloadMarch, 02, 2021
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
高: 特別な細工が行われたPull RequestやREST APIのリクエストを通じて、認可されていないリポジトリへの書き込みアクセスを、インスタンスの認証されたユーザが取得できてしまう、不適切なアクセス制御の脆弱性がGitHub Enterprise Serverで特定されました。攻撃者はターゲットのリポジトリをフォークできなければなりませんが、これはOrganizationが所有しているプライベートリポジトリではデフォルトで無効化されている設定です。必須のPull Requestレビューやステータスチェックといったブランチ保護で、さらなるレビューや検証なしに未認可のコミットがマージされることは避けられます。この脆弱性にはCVE-2021-22861が割り当てられました。この問題は、GitHub Bug Bounty Programを通じて報告されました。
高: 適切な認可なしに、Pull Requestのメンテナのコラボレーション権限を修正できる、不適切なアクセス制御の脆弱性がGitHub Enterprise Serverで特定されました。この脆弱性を突くことで、攻撃者は自分がメンテナになっているリポジトリでオープンされたPull Requestのheadブランチへのアクセスを得ることができます。Organizationが所有するプライベートリポジトリではフォークがデフォルトで無効になっており、この脆弱性を避けることができます。加えて、必須のPull Requestレビューやステータスチェックといったブランチ保護で、さらなるレビューや検証なしに未認可のコミットがマージされることは避けられます。この脆弱性にはCVE-2021-22863が割り当てられました。この問題は、GitHub Bug Bounty Programを通じて報告されました。
高: GitHubPagesのサイトをビルドする際に利用される可能性があるリモートコード実行の脆弱性が、GitHub Enterprise Serverで特定されました。GitHub Pagesが使用する下位層のパーサーのユーザが制御する設定が十分に厳密ではなく、GitHub Enterprise Serverインスタンス上でコマンドを実行することができてしまいます。この脆弱性を利用するには、攻撃者はGitHub Enterprise Serverインスタンス上でGitHub Pagesのサイトを作成してビルドする権限を持っていなければなりません。この脆弱性にはCVE-2020-10519が割り当てられ、GitHub Bug Bounty Programを通じて報告されました。
中: GitHub PagesのビルドからのGitHubトークンがログに残ることがあります。
低: CVNブリック時に対する特別に細工されたリクエストが、失敗までに長時間の待ちを発生させ、サービス拒否(DoS)につながることがあります。
パッケージは最新のセキュリティバージョンにアップデートされました。
ロードバランサーのヘルスチェックによって、babeldのログがPROXYプロトコルに関するエラーで埋め尽くされてしまうことがあります。
GitHub Enterprise Backup Utilitiesがスナップショットを取る際に、情報提供のメッセージが意図せずエラーとして記録され、そのためにcronジョブによってスケジュールされたstderrへの出力を待ち受けているバックアップの際に、不要なメールが送信されてしまいます。
大規模なバックアップをリストアする際に、Redisのメモリ枯渇に関する例外ログが、ディスクフルによってリストアを失敗させることがあります。
新しいインスタンスを初めてセットアップする際に、"Configure as Replica"を選択するとレプリケーションを開始することができなくなります。
GitHub Actionsが有効化されていると、管理コンソールでメンテナンスモードの無効化に失敗します。
Wikiページを編集する際に、保存ボタンをクリックすると500エラーが返されることがあります。
サブジェクトの別名に複数の名前がある証明書を使ってS/MIME署名されたコミットで、誤ってコミットバッジに"Unverified"と表示されます。
サスペンドされたユーザがTeamに追加されると、メールが送信されます。
LDAP認証を設定されたインスタンス上でGitの操作を実行したユーザに500エラーが返されました。
バックグラウンドジョブの
remove_org_member_package_access
が管理コンソールから見え、継続的に増加します。リポジトリが大量のマニフェストを持っていると、
You have reached the maximum number of allowed manifest files (20) for this repository
というエラーがInsights -> Dependency graphタブに表示されます。詳しい情報については可視化の制限を参照してください。以前のライセンスファイルとは異なるシート数の新しいライセンスファイルをアップロードすると、シート数の際がEnterpriseアカウントのSettings -> Licenseページで正しく表示されませんでした。
Enterpriseアカウント設定にある"Prevent repository admins from changing anonymous Git read access"チェックボックスが、正常に有効化または無効化できませんでした。
GitHub Pagesのビルドが失敗した場合、メール通知にサポートの場所への正しくないリンクが含まれました。
閏年に、月曜のコントリビューションアクティビティを表示させようとすると404レスポンスが返されました。
AWS EC2 r5bインスタンスタイプのサポートを追加しました。
ジョブの配分をさらに均等にするために、バックグラウンドのキューの優先順位を調整しました。
新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。
カスタムのファイアウォールのルールは、アップグレードの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。
GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。
ユーザは、アバターのようなアセットがロードされないことや、コードのプッシュ/プルの失敗を体験するかもしれません。これは、
haproxy-cluster-proxy
サービス内のPIDミスマッチによって生じることがあります。影響されたインスタンスがあるかは、以下のようにして判断します。単一インスタンス
-
以下を管理シェル (SSH)で実行してください:
if [ $(cat /var/run/haproxy-cluster-proxy.pid) -ne $(systemctl show --property MainPID --value haproxy-cluster-proxy) ]; then echo 'Main PID of haproxy-cluster-proxy does not match /var/run/haproxy-cluster-proxy.pid'; fi
-
ミスマッチがあると表示されたら、インスタンスを再起動してください。
クラスタもしくはHigh Availability構成
-
以下を管理シェル (SSH)で実行してください:
ghe-cluster-each -- 'if [ $(cat /var/run/haproxy-cluster-proxy.pid) -ne $(systemctl show --property MainPID --value haproxy-cluster-proxy) ]; then echo 'Main PID of haproxy-cluster-proxy does not match /var/run/haproxy-cluster-proxy.pid'; fi'
-
1つ以上のノードが影響されていると表示されたら、影響されているノードを再起動してください。
-
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.6
DownloadDecember, 17, 2020
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
低: SVNブリッジへの特別に細工されたリクエストによって引き起こされる高いCPU使用率によって、サービス拒否(DoS)が引き起こされる可能性がありました。
パッケージが最新のセキュリティバージョンに更新されました。
zipアーカイブや生のファイルのような、一部のファイルリソースに対するリクエストがリダイレクトのループに入ってしまうことがありました。
タイムアウトによって、一部のIssueやPull Requestの検索が完全な検索結果を返せないことがありました。
小さな画面で、非アルファベットの文字を含むカスタムタブが、正しく表示されませんでした。
下位の動作によって、Git LFSが有効化されたリポジトリへのコンテンツのプッシュが失敗していました。
Webインターフェース経由でのアクセスの際に、まれな状況で問題が生じて500エラーになることがありました。
新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。
カスタムのファイアウォールルールがアップデートの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。
GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.5
DownloadDecember, 03, 2020
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
ブートストラップ時のレース条件により、認可サービスが不健全として検出され、再起動されることにつながりました。
Elasticsearchのアップグレードのプロセスが、ghe-diagnosticsに捉えられませんでした。
アップグレードされたHigh Availability設定でGitHub Actionsを有効化すると、レプリケーションでエラーが生じました。
下位の動作により、ホットパッチアップグレードのプロセス中に、サービスが利用できなくなりました
アクティブなレプリカに接続するユーザに、ライブアップデートのwebsocketへの接続でエラーが返されます。
ログ転送SSL証明書の一部が正しく適用されませんでした。
サスペンドされたユーザがTeamあるいはOrganizationから削除されると、そのユーザにメール通知が送信されました。
SSH証明書の適用方法が、OrganizationとBusiness間で整合していませんでした。
不正確なパスワードの利用のためにアカウントにレート制限が適用された場合に、最大で24時間ロックアウトされることがありました。
多くの参照を持つリポジトリ上のPull Requestの同期が、ワーカーキューを遅れさせることがありました。
特定のページにアクセスしようとした後に、ローカルのユーザ名とパスワードで(ビルトイン認証)サインインすると、ユーザは意図したアクセス先ではなくホームページに送られました。
ビルトインの認証を内部的なSAMLアイデンティティプロバイダで利用しているGHESインスタンスにおいて、関連づけられたメールアドレスのないユーザはWebインターフェースからコミットを作成できませんでした。
新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。
カスタムのファイアウォールルールがアップデートの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。
GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.4
DownloadNovember, 17, 2020
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
パッケージが最新のセキュリティバージョンに更新されました。
baneldログに秒とマイクロ秒の間のセパレータが欠けていました。
ホットパッチでGHESをアップグレードした後、
ghe-actions-precheck
及びghe-packages-precheck
コマンドが"docker load" accepts no arguments
というエラーで失敗します。Enterpriseアカウントの"Repository visibility change"ポリシーが"Enabled"に設定されている場合、OrganizationオーナーがOrganization内のリポジトリの可視性を変更できませんでした。
監査ログが実際のソースIDアドレスではなく、127.0.0.1に起因するものとされることがあります。
新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。
カスタムのファイアウォールルールがアップデートの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。
GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.3
DownloadNovember, 03, 2020
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
低: SVNブリッジへの特別に細工されたリクエストによって引き起こされる高いCPU使用率によって、SVNブリッジサービスでサービス拒否(DoS)が引き起こされる可能性がありました。(2020-11-16更新)
低: 不正確なトークンの検証によって、認証中のトークンのマッチのためのエントロピーが減少しました。分析からは、実際には大きなセキュリティ上のリスクはないことが示されています。
パッケージが最新のセキュリティバージョンに更新されました。
2.22.0を実行しているインスタンスで以前にGitHub Actionsが有効化されており、2.22.1もしくは2.22.2へアップグレードすると、GitHub Actionsの起動に失敗することがあります。
High Availabilityのレプリカをセットアップする際に、GitHub Actionsの設定ファイルがレプリカにコピーされず、そのために
ghe-repl-promote
の間にエラーが生じる可能性があります。新たにセットアップされた2.22.1あるいは2.22.2のインスタンス、もしくは2.22.1あるいは2.22.2へのアップグレード後、Organizationのダッシュボード上のアクティビティフィードが更新されなくなります。
非ASCIIキャラクタを含むファイル名のIssueテンプレートを編集すると、"500 Internal Server Error"で失敗します。
バックグラウンドジョブのメトリック収集方式のために、CPU使用率が増大しました。(2020-11-03更新)
新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。
カスタムのファイアウォールルールがアップデートの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。
GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
監査ログが実際のソースIDアドレスではなく、127.0.0.1に起因するものとされることがあります。(--更新)
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.2
DownloadOctober, 20, 2020
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
パッケージが最新のセキュリティバージョンに更新されました。
GitHub Actionsの設定中にストレージアカウント設定の検証に失敗した場合、新たに試行する前に
ghe-actions-teardown
の実行が必要でした。カスタムのプロキシ設定が、GitHub Actionsの環境に悪影響を及ぼすことがありました。
eth0のアドレス変更時に、Nomad及びConsulがレスポンスを返さなくなることがありました。
自己署名証明書を使用した場合、GitHub Actionsの設定の際にGHESがSSL検証の例外を起こすことがありました。
+
あるいは/
キャラクタをブランチ名に含むブランチからGitHub Actionを利用すると、Unable to resolve action
というエラーになりました。Enterpriseアカウントの"Confirm two-factor requirement policy"メッセージが正しくありませんでした。
100MBを超える特定のリクエストで、Kafkaのバッファが過剰に割り当てられることがありました。
新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。
カスタムのファイアウォールルールがアップデートの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。
GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
2.22.0を実行しているインスタンスで以前にGitHub Actionsが有効化されており、2.22.2へアップグレードすると、GitHub Actionsの起動に失敗することがあります。(2020-10-23更新)
新たにセットアップされた2.22.2のインスタンス、もしくは2.22.2へのアップグレード後、Organizationのダッシュボード上のアクティビティフィードが更新されなくなります。(2020-10-27更新)
監査ログが実際のソースIDアドレスではなく、127.0.0.1に起因するものとされることがあります。(2020-11-02更新)
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.1
DownloadOctober, 09, 2020
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
中: DSA-4715-1に対処するためにImageMagickがアップデートされました。
OAuthアクセストークンをリフレッシュするためのGitHub Appのインテグレーションからのリクエストが、リフレッシュトークンを作成するのに使われたものとは異なる、有効なOAuthクライアントIDとクライアントシークレットで送信された場合に受け付けられます。
LDAPディレクトリのユーザ名を標準化すると既存のGHESアカウントのログインになってしまうユーザが、その既存のアカウントとして認証されることがありました。
パッケージが最新のセキュリティバージョンに更新されました。
管理コンソールのNameID Fortmatドロップダウンが、"persistent"に設定された後に"unspecified"にリセットされます。
ホットパッチを使用したアップグレードが
'libdbi1' was not found
というエラーで失敗することがありました。管理コンソール での設定の保存によって、TLS/SSLの証明書及びキーファイルに改行を追加してしまい、不必要に再ロードされるサービスが生じました。
依存関係グラフのシステムログがローテートされず、無制限にストレージを消費できてしまいました。
MS SQL Serverのパフォーマンスグラフは、レプリカが選択されている場合でも、インスタンスからの統計を表示します。
ghe-actions-precheck
は、Actionsが有効化されていない場合、ストレージチェックを実行せず、何も示さずに終了してしまいます。Resqueのワーカーのオーバーライドする設定が使われていると、アップグレードに失敗することがありました。
コンテナ内で実行されるサービスに、ログをジャーナルに送信しないものがありました。
GitHubセキュリティアドバイザリへのリンクが、GitHub.comではなくGitHub Enterprise Serverインスタンスのホスト名を持つURLを使い、ユーザを存在しないURLにアクセスさせました。
ghe-migrator
でリポジトリをインポートする際に、不整合なデータが存在していると、予期しない例外が生じることがありました。Enterpriseアカウントのセキュリティ設定ページは、使用されている認証モードがビルトインの2要素認証をサポートしていない場合、"Two-factor authentication"設定に対して"View your organizations' current configurations"リンクを表示しました。
OAuthリフレッシュトークンは、早期に削除されます。
検索の修復タスクは、設定の移行フェーズの間に例外を生成します。
環境によって、GitHub Appsの設定ページで"Beta Features"が表示されませんでした。
ghe-migrator
を使ってPRレビューリクエストをインポートする際に、削除されたユーザに関連付けられたレコードによって関係性を持たないデータベースレコードが残ります。ghe-migrator
でユーザをインポートする際に、システムによって生成されたメールアドレスが100文字以上の長さになっていると、"Emails is invalid"エラーが生じます。webhookのアクティビティのログが大量のディスク領域を使い、ルートディスクが一杯になってしまいます。
読み取りが他のノードに転送されるため、High Availabilityのレプリカのインスタンスで、Gitのクローン及びフェッチのパフォーマンスが低下しました。
ユーザもしくはOrganizationのGitHub Pagesサイトのためのリポジトリの設定ページが"500 Internal Server Error"で失敗します。
リポジトリネットワークのメンテナンス操作が、
running
の状態で停止することがありました。コードスキャンニングの結果のアップロードの直後に1つのリポジトリを削除すると、すべてのリポジトリのコードスキャンニングの結果の処理が停止することがありました。
同時に大量のコードスキャンニングの結果がサブミットされると、バッチの処理がタイムアウトし、コードスキャンニングの結果の処理が停止することがありました。
マニフェストからのGitHub Appsの作成が失敗します。
SAML認証を使っていて、GitHubのユーザ名が管理コンソールの
username
フィールドにマップされた属性の値と一致しない場合に、GitHubのユーザ名が意図せずに変更されてしまいました。
AWS EC2のインスタンスタイプ
m5.16xlarge
のサポートが追加されました。ghe-migrator
アーカイブのSSHフィンガープリントはいつでも計算できるので、必須ではなくなりました。GitHub Appマニフェストに
request_oauth_on_install
フィールドが含まれるようになりました。
新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。
カスタムのファイアウォールルールがアップデートの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。
GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
元々のバックアップソースでGitHub Actionsが有効化されていなかった場合に、データをGitHub Actionsが有効化されているインスタンスにリストアすると、設定の更新に失敗します。
2.22.0を実行しているインスタンスで以前にGitHub Actionsが有効化されており、2.22.1へアップグレードすると、GitHub Actionsの起動に失敗することがあります。(2020-10-23更新)
新たにセットアップされた2.22.1のインスタンス、もしくは2.22.1へのアップグレード後、Organizationのダッシュボード上のアクティビティフィードが更新されなくなります。(2020-10-27更新)
監査ログが実際のソースIDアドレスではなく、127.0.0.1に起因するものとされることがあります。(2020-11-02更新)
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。
Enterprise Server 2.22.0
DownloadSeptember, 23, 2020
📣 これはこのリリースシリーズの最新パッチリリースではなく、これはEnterprise Serverの最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグフィックスのために、最新のリリースをお使いください。
GitHubはGitHub Enterprise Server 2.22.0を紹介できることを嬉しく思います。
GitHub Actionsは、CI/CDとワークフローの自動化のための強力で柔軟なソリューションです。Enterprise Server上のGitHub Actionsには、このサービスの管理を支援するツールが含まれており、ロールアウトの制御を支援するための管理コンソール内の主要なメトリクス、監査ログ、アクセス制御が含まれます。
ユーザはGitHub Actionsのために自身の ストレージとランナーを提供しなければなりません。AWS S3、Azure Blob Storage、MinIOがサポートされています。GitHub Actionsを有効化する前に、使用するプラットフォームのための最小の要件の更新をレビューしてください。さらに学ぶには、GitHubの営業チームに連絡するか、ベータにサインアップしてください。
GitHub Packagesは、パッケージのホスティングサービスであり、GitHub API、Actions、webhookとネイティブに統合されています。コード、継続的インテグレーション、デプロイメントのソリューションを含むエンドツーエンドのDevOpsワークフローを作成してください。
サポートされているストレージのバックエンドにはAWS S3とMinIOがあり、Azure blobのサポートも将来のリリースにあります。現在のDockerサポートは、次のリリースの新しいGitHub Container Registryで置き換えられることにご注意ください。GitHub Packagesを有効にする前に、使用するプラットフォームの最小要件の更新をレビューしてください。さらに学ぶには、GitHubの営業チームに連絡するか、ベータにサインアップしてください。
GitHub Advanced Security code scanningは、開発者ファーストで、GitHubネイティブの静的アプリケーションセキュリティテスティング(SAST)です。脆弱性がプロダクションに到達してしまう前に容易に発見する、このすべてのパワーは世界で最も強力なコード解析エンジン、CodeQLによるものです。
GitHub Advanced Security を使用する管理者は、GitHub Advanced Security code scanningベータにサインアップし、有効化できます。GitHub Advanced Security code scanningを有効にする前に、使用するプラットフォームの最小要件の更新をレビューしてください。
Pull Requestのheadブランチがマージされ、削除された場合、このブランチをターゲットとする同じリポジトリ内のすべての他のオープンなPull Requestは、マージされたPull Requestのベースブランチにターゲットし直されるようになりました。以前は、それらのPull Requestはクローズされていました。
管理者とユーザは、設定やAPIを通じてのコマンドで、必要な期間にわたって任意のGitHub Appのアクセスをサスペンドしたり、アプリケーションのサスペンドを解除したりできます。サスペンドされたアプリケーションは、GitHub APIあるいはwebhookイベントにアクセスできません。これは、すべてのユーザの認可を解除してしまうアプリケーションのアンインストールの代わりに利用できます。''
リポジトリのネットワークメンテナンスのスケジューリングアプローチを見直し、大きな単一リポジトリが障害の状態になるのを避けられるようにしました。''
パッシブレプリカが[GitHub Enterprise Serverクラスタデプロイメントをサポートし、設定可能に]なりました(https://docs.github.com/en/enterprise/2.22/admin/enterprise-management/configuring-high-availability-replication-for-a-cluster)。これらの変更によって、高速なフェイルオーバー、RTOとRPOの削減が可能になりました。
例外的に大きなTeamの場合、管理者はユーザリストのデフォルトの最大数の1,500を調整できます。''
GitHub Actionsベータ
GitHub Packagesベータ
Advanced Security Code Scanningベータ
Pull Request Retargeting
アプリケーションのインストールのサスペンドとサスペンド解除
改善された大規模でのパフォーマンス
すべてのユーザの表示
共有ワーカーは、タブ間で接続を共有することによって、ライブアップデートにより弾力性を持たせることができるようになりました。
50x
エラーページの"Contact Support"リンクは、サポートのメールもしくは管理コンソールで設定されたリンクにリンクされるようになりました。[Enterpriseアカウント設定を通じて、グローバルなアナウンスと有効期限を管理]できるようになりました。(https://docs.github.com/en/enterprise/2.22/admin/installation/command-line-utilities#ghe-announce)
必要な場合、管理コンソールで設定されたデフォルトのAPIのレート制限から、特定のユーザを除外できるようになりました。
リポジトリ管理者は、リポジトリ設定の単一のダイアログから自分のリポジトリを利用可能な任意の可視性のオプションに設定できるようになりました。以前は、パブリックとプライベート間、そしてプライベートとインターナル間の変更には、個別のセクション、ボタン、ダイアログボックスを使わなければなりませんでした。
ユーザのドロップダウンメニュー上の新しいEnterprise設定のリンクによって、Enterpriseアカウント設定へのアクセスが容易になりました。
/stafftoolsページにあった旧来の"Admin Center"リンクは削除されました。/stafftoolsページからEnterpriseアカウントにアクセスする最善の方法は、"Enterprise"リンクになりました。
Enterpriseアカウント設定のOptionsサブメニューアイテムは、SettingsセクションからPoliciesセクションへ移されました。
個人アクセストークンもしくはSSHキーを使ったリソースへのアクセスは、ユーザのアクティビティとしてカウントされるようになりました。これで、管理者はユーザの休止レポートから特定のユーザをフィルタリングしなくてもよくなり、個人アクセストークン(PAT)あるいはSSHキーでAPIを通じて読み取りのみでGitHubにアクセスしているだけのユーザをうっかりサスペンドしてしまうことなく、安全に"Suspend all"ボタンを使えるようになります。
2要素のリカバリコードは、2要素でのサインインのプロセス中には使えなくなりました。受け付けられる値はワンタイムパスワードのみです。
ユーザがシングルサインオンを通じてGitHub Enterprise Serverにサインインする際に、デフォルトのリポジトリの可視性の選択はプライベートになります。
GitHub Appのオーナーは、ユーザからサーバーへのアクセストークンが8時間で期限切れになるよう選択して、定期的なトークンのローテーションを強制しやすくし、侵害されたトークンの影響を軽減できるようになりました。
GitHubのUIは設計しなおされ,、リポジトリのホームページも、レスポンシブなレイアウトや改善されたモバイルのWeb体験を含め、再設計されました。
リポジトリの"Clone with SSH"ドロップダウンメニューで、キーをセットアップしていないことがユーザに通知されるようになりました。
Pull Requestタイムライン及びコミットタブ内で、コミットが時系列で並べられるようになりました。この新しい順序は"Pull Request上のコミットのリスト" REST API及びGraphQLの"PullRequestオブジェクト"のタイムラインコネクションにも反映されます。
ユーザは、コメントのテキスト領域で絵文字のオートコンプリートの結果のためのスキントーンのデフォルトを設定できるようになりました。
Tree-sitterは、構文ハイライトを改善し、言語のパースに使われるデフォルトのライブラリになりました。
プレビューからの卒業
以下のプレビューは、APIの公式部分になりました。
performed_via_github_app
属性を返すGitHub Apps APIとエンドポイントは、machine-man
プレビューヘッダを必要としなくなりました。- Issueにロックの理由を追加して表示するために、
sailor-v
プレビューヘッダを使う必要がなくなりました。
GraphQLのスキーマ変更
- GraphQLのスキーマ変更には、後方互換な変更、スキーマのプレビュー、今後の破壊的変更が含まれます。
VMwareの顧客のためのGitHub Enterprise Serverのデフォルトネットワークアダプタの種類は、リリース2.22.0よりE1000からVMXNET3に変更されました。以前のリリースから2.22.0移行へアップグレードする際に、アップグレード前のチェックの間にE1000ネットワークアダプタが検出されると、以下のメッセージがコマンドラインに表示されます。
WARNING: Your virtual appliance is currently using an emulated Intel E1000 network adapter. For optimal performance, please update the virtual machine configuration on your VMware host to use the VMXNET3 driver. Proceed with installation? [y/N]
管理者は、GitHub Enterprise Serverのアップグレードの前後のいずれかで、ネットワークアダプタの種類をVMXNET3に更新することを選択できます。この変更を行うためには、仮想アプライアンスをシャットダウンする必要があります。お客様はVMXNET3への仮想マシンのネットワークアダプタ設定の変更の推奨手順に従ってください。仮想アプライアンスのOSバージョンが
Other Linux (64-bit)
に設定されている場合、VMXNET3
は選択肢にならないことに注意してください。その場合は、OSバージョンをまずOther Linux (64-bit)
からOther 2.6.x Linux (64-bit)
へ、もしくは可能であればDebian GNU/Linux 9
に変更する必要があります。これらの変更は、プロダクションのGitHub Enterprise Serverで行う前に、ステージングのインスタンスでテストすることをおすすめします。
管理に関する変更
セキュリティの変更
開発者の変更
ユーザとOrganizationは、GitHubのプロフィールにTwitterのユーザ名を追加できるようになりました。
API の変更
VMwareのネットワークドライバの変更
保留中のメール招待があると、保留中のコラボレータを表示するためのstafftoolsページが
500 Internal Server Error
を表示しました。stafftools中のリポジトリヘルスチェックが、高負荷のリポジトリで不正確な結果を返すことがありました。
メールの招待を受諾しようとするログインユーザに
404 Not Found
エラーが返されることがありました。名前が"repositories."で始まるリポジトリにユーザがアクセスしようとすると、リポジトリの概要ページの代わりにオーナーの"Repositories"タブにリダイレクトされました。
ダッシュボードタイムラインのラベルが十分なコントラストを持っていませんでした。
GitHub Enterprise Server 2.19は2020年11月12日に非推奨となります これは、この日以降は重大なセキュリティの問題に対してであってもパッチリリースが行われなくなるということです。より優れたパフォーマンス、改善されたセキュリティ、新しい機能のために、GitHub Enterprise Serverの最新バージョンへのアップグレードをできるだけ早く行ってください。
GitHub Enterprise Server 2.21.0から、2つの旧来のGitHub Appsに関連するwebhookイベントが非推奨となり、GitHub Enterprise Server 2.25.0で削除されます。非推奨となったイベントの
integration_installation
とintegration_installation_repositories
には、サポートされることになる同等のイベントがあります。詳細な情報は非推奨化のアナウンスのblogポストにあります。GitHub Enterprise Server 2.21.0から、インストールアクセストークンを作成するための旧来のGitHub Appsのエンドポイントが非推奨になり、GitHub Enterprise Server 2.25.0で削除されます。詳細な情報は非推奨化のアナウンスのblogポストにあります。
GitHubは、パスパラメータとして
access_token
を含むOAuthのアプリケーションエンドポイントをサポートしなくなりました。access_token
をリクエストのボディに移すことにより、OAuth Appsのためのトークンをセキュアに管理できるようにする、新しいエンドポイントが導入されます。非推奨にはなりましたが、これらのエンドポイントはこのバージョンではまだ利用可能です。これらのエンドポイントは、GitHub Enterprise Server 3.4で削除しようとしています。詳細については非推奨化のアナウンスのblogポストを参照してください。
GitHub Enterprise Server 2.19の非推奨の予定
旧来のGitHub App webhookイベントの非推奨化
旧来のGitHub Appsのエンドポイントの非推奨化
OAuth Application APIの非推奨化
GitHub Enterprise Serverでは、バックアップとディザスタリカバリーのために、最低でもGitHub Enterprise Backup Utilities 2.22.0が必要です。
新たにセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理者ユーザを作成できました。
カスタムのファイアウォールルールがアップデートの際に維持されません。
Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。
ファイルパスが255文字以上の場合、同じリポジトリ内のblobへのパーマリンクが含まれていると、Issueをクローズできません。
GitHub Connectで"Users can search GitHub.com"が有効化されていると、プライベート及びインターナルリポジトリのIssueがGitHub.comの検索結果に含まれません。
管理コンソールのName ID Fortmatドロップダウンが、インスタンスを"persistent"に設定した後に"unspecified"にリセットされます。
ユーザもしくはOrganizationのGitHub Pagesサイトのためのリポジトリの設定ページが"500 Internal Server Error"で失敗します。
読み取りが他のノードに転送されるため、High Availabilityのレプリカのインスタンスで、Gitのクローン及びフェッチのパフォーマンスが低下することがあります。
マニフェストからのGitHub Appの作成が失敗します。この問題を回避するために、ユーザはGitHub Appの作成の手動の指示に従うことができます。
SAML認証を使っていて、GitHubのユーザ名が管理コンソールの
username
フィールドにマップされた属性の値と一致しない場合に、GitHubのユーザ名が意図せずに変更されてしまうことがあります。新たにセットアップされた2.22.0のインスタンス、もしくは2.22.0へのアップグレード後、Organizationのダッシュボード上のアクティビティフィードが更新されなくなります。(2020-10-27更新)
監査ログが実際のソースIDアドレスではなく、127.0.0.1に起因するものとされることがあります。(2020-11-02更新)
High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。