Enterprise Server 3.3 release notes
Enterprise Server 3.3.19
Download GitHub Enterprise Server 3.3.19January 17, 2023
📣 これは、Enterprise Server の最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグ修正に関しては、最新のリリースをお使いく� さい。
-
HIGH: Updated Git to include fixes from 2.39.1, which address CVE-2022-41903 and CVE-2022-23521.
Security fixes
After upgrading to GitHub Enterprise Server 3.3, GitHub Actions may fail to start automatically. To resolve this issue, connect to the appliance via SSH and run the
ghe-actions-start
command.On a freshly set up GitHub Enterprise Server instance without any users, an attacker could create the first admin user.
Custom firewall rules are removed during the upgrade process.
Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.
Issues cannot be closed if they contain a permalink to a blob in the same repository, where the blob's file path is longer than 255 characters.
When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.
The GitHub Packages npm registry no longer returns a time value in metadata responses. This was done to allow for substantial performance improvements. We continue to have all the data necessary to return a time value as part of the metadata response and will resume returning this value in the future once we have solved the existing performance issues.
Resource limits that are specific to processing pre-receive hooks may cause some pre-receive hooks to fail.
GitHub Actions storage settings cannot be validated and saved in the [Management Console] when "Force Path Style" is selected, and must instead be configured with the
ghe-actions-precheck
command line utility.GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした� �合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでく� さい。 修正プログラ� は、3.5.5 および 3.6.1 パッチ リリースで入手できます。
3.4 を介したアップグレードを計画する� �合は、アップグレード アシスタントに関する記事を参照してく� さい。 [更新日: 2022-09-01]
Hotpatch upgrades to GitHub Enterprise Server may fail. Upgrades with the full
.pkg
are unaffected. If the upgrade fails for your instance, workaround this issue by connecting to the administrative shell (ssh) and running the following non-interactive command:echo "grub-pc grub-pc/install_devices_empty boolean true" | sudo debconf-set-selections
If you're unable to upgrade, or if you need further assistance, contact GitHub Support. For more information, see "Creating a support ticket." [Updated: 2022-10-14]
Known issues
Enterprise Server 3.3.18
Download GitHub Enterprise Server 3.3.18January 12, 2023
📣 これは、このリリース シリーズの最新パッチ リリースではなく、これは Enterprise Server の最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグ修正に関しては、最新のリリースをお使いく� さい。
The performance of configuration runs started with
ghe-config-apply
has been improved.When upgrading an instance with a new root partition, running the
ghe-upgrade
command with the-t/--target
option ensures the preflight check for the minimum disk storage size is executed against the target partition.When exporting account data, backing up a repository, or performing a migration, the link to a repository archive now expires after 1 hour. Previously the archive link expired after 5 minutes.
Changes
After upgrading to GitHub Enterprise Server 3.3, GitHub Actions may fail to start automatically. To resolve this issue, connect to the appliance via SSH and run the
ghe-actions-start
command.On a freshly set up GitHub Enterprise Server instance without any users, an attacker could create the first admin user.
Custom firewall rules are removed during the upgrade process.
Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.
Issues cannot be closed if they contain a permalink to a blob in the same repository, where the blob's file path is longer than 255 characters.
When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.
The GitHub Packages npm registry no longer returns a time value in metadata responses. This was done to allow for substantial performance improvements. We continue to have all the data necessary to return a time value as part of the metadata response and will resume returning this value in the future once we have solved the existing performance issues.
Resource limits that are specific to processing pre-receive hooks may cause some pre-receive hooks to fail.
GitHub Actions storage settings cannot be validated and saved in the [Management Console] when "Force Path Style" is selected, and must instead be configured with the
ghe-actions-precheck
command line utility.GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした� �合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでく� さい。 修正プログラ� は、3.5.5 および 3.6.1 パッチ リリースで入手できます。
3.4 を介したアップグレードを計画する� �合は、アップグレード アシスタントに関する記事を参照してく� さい。 [更新日: 2022-09-01]
Hotpatch upgrades to GitHub Enterprise Server may fail. Upgrades with the full
.pkg
are unaffected. If the upgrade fails for your instance, workaround this issue by connecting to the administrative shell (ssh) and running the following non-interactive command:echo "grub-pc grub-pc/install_devices_empty boolean true" | sudo debconf-set-selections
If you're unable to upgrade, or if you need further assistance, contact GitHub Support. For more information, see "Creating a support ticket." [Updated: 2022-10-14]
Known issues
Enterprise Server 3.3.17
Download GitHub Enterprise Server 3.3.17December 13, 2022
📣 これは、このリリース シリーズの最新パッチ リリースではなく、これは Enterprise Server の最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグ修正に関しては、最新のリリースをお使いく� さい。
HIGH: A path traversal vulnerability was identified in GitHub Enterprise Server that allowed remote code execution when building a GitHub Pages site. To exploit this vulnerability, an attacker would need permission to create and build a GitHub Pages site on the instance. This vulnerability was reported via the GitHub Bug Bounty Program and has been assigned CVE-2022-46256.
HIGH: An incorrect authorization vulnerability allowed a scoped user-to-server token to escalate to full admin access for a repository. An attacker would require an account with admin access to install a malicious GitHub App. This vulnerability affected all versions of GitHub Enterprise Server prior to 3.7.0. This vulnerability was reported via the GitHub Bug Bounty program and has been assigned CVE-2022-23741.
MEDIUM: An information disclosure vulnerability was identified in GitHub Enterprise Server that allowed private repositories to be added to a GitHub Actions runner group via the API by a user who did not have access to those repositories, resulting in the repository names being shown in the UI. To exploit this vulnerability, an attacker would need access to the GHES instance, permissions to modify GitHub Actions runner groups, and successfully guess the obfuscated ID of private repositories. This vulnerability was reported via the GitHub Bug Bounty Program and has been assigned CVE-2022-46257.
Security fixes
Installation of GitHub Enterprise Server on the VMware ESXi hypervisor failed due to the generation of an OVA file with an invalid capacity value.
When users performed an operation using the API, GitHub Enterprise Server enforced repository size quotas even when disabled globally.
A debug-level message appeared in a system log, which could consume space rapidly on the instance's root storage volume.
On instances where the dependency graph is enabled, upgrades could sometimes fail due to a slow-running migration of dependency graph data.
Bug fixes
After upgrading to GitHub Enterprise Server 3.3, GitHub Actions may fail to start automatically. To resolve this issue, connect to the appliance via SSH and run the
ghe-actions-start
command.On a freshly set up GitHub Enterprise Server instance without any users, an attacker could create the first admin user.
Custom firewall rules are removed during the upgrade process.
Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.
Issues cannot be closed if they contain a permalink to a blob in the same repository, where the blob's file path is longer than 255 characters.
When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.
The GitHub Packages npm registry no longer returns a time value in metadata responses. This was done to allow for substantial performance improvements. We continue to have all the data necessary to return a time value as part of the metadata response and will resume returning this value in the future once we have solved the existing performance issues.
Resource limits that are specific to processing pre-receive hooks may cause some pre-receive hooks to fail.
GitHub Actions storage settings cannot be validated and saved in the [Management Console] when "Force Path Style" is selected, and must instead be configured with the
ghe-actions-precheck
command line utility.GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした� �合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでく� さい。 修正プログラ� は、3.5.5 および 3.6.1 パッチ リリースで入手できます。
3.4 を介したアップグレードを計画する� �合は、アップグレード アシスタントに関する記事を参照してく� さい。 [更新日: 2022-09-01]
Hotpatch upgrades to GitHub Enterprise Server may fail. Upgrades with the full
.pkg
are unaffected. If the upgrade fails for your instance, workaround this issue by connecting to the administrative shell (ssh) and running the following non-interactive command:echo "grub-pc grub-pc/install_devices_empty boolean true" | sudo debconf-set-selections
If you're unable to upgrade, or if you need further assistance, contact GitHub Support. For more information, see "Creating a support ticket." [Updated: 2022-10-14]
Known issues
Enterprise Server 3.3.16
Download GitHub Enterprise Server 3.3.16November 22, 2022
📣 これは、このリリース シリーズの最新パッチ リリースではなく、これは Enterprise Server の最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグ修正に関しては、最新のリリースをお使いく� さい。
MEDIUM: Updated CommonMarker to address a scenario where parallel requests to the Markdown REST API could result in unbounded resource exhaustion. This vulnerability has been assigned CVE-2022-39209.
MEDIUM: Scoped user-to-server tokens from GitHub Apps could bypass authorization checks in GraphQL API requests when accessing non-repository resources. This vulnerability was reported via the GitHub Bug Bounty Program and has been assigned CVE-2022-23739.
MEDIUM: Pull request preview links did not properly sanitize URLs, allowing a malicious user to embed dangerous links in the instances web UI. This vulnerability was reported via the GitHub Bug Bounty program.
MEDIUM: An incorrect authorization vulnerability was identified in GitHub Enterprise Server that allowed a repository-scoped token with read/write access to modify GitHub Actions workflow files without a workflow scope. The "Create or Update file contents API" should enforce workflow scope. This vulnerability was reported via the GitHub Bug Bounty program and has been assigned CVE-2022-46258.
Security fixes
Setting the maintenance mode with an IP Exception List would not persist across upgrades.
After configuration of Dependabot and alert digest emails, the instance would send digest emails to suspended users.
If a user configured a pre-receive hook for multiple repositories, the instances Hooks page would not always display the correct status for the hook.
Zombie processes no longer accumulate in the
gitrpcd
container.
Bug fixes
After upgrading to GitHub Enterprise Server 3.3, GitHub Actions may fail to start automatically. To resolve this issue, connect to the appliance via SSH and run the
ghe-actions-start
command.On a freshly set up GitHub Enterprise Server instance without any users, an attacker could create the first admin user.
Custom firewall rules are removed during the upgrade process.
Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.
Issues cannot be closed if they contain a permalink to a blob in the same repository, where the blob's file path is longer than 255 characters.
When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.
The GitHub Packages npm registry no longer returns a time value in metadata responses. This was done to allow for substantial performance improvements. We continue to have all the data necessary to return a time value as part of the metadata response and will resume returning this value in the future once we have solved the existing performance issues.
Resource limits that are specific to processing pre-receive hooks may cause some pre-receive hooks to fail.
GitHub Actions storage settings cannot be validated and saved in the [Management Console] when "Force Path Style" is selected, and must instead be configured with the
ghe-actions-precheck
command line utility.GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした� �合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでく� さい。 修正プログラ� は、3.5.5 および 3.6.1 パッチ リリースで入手できます。
3.4 を介したアップグレードを計画する� �合は、アップグレード アシスタントに関する記事を参照してく� さい。 [更新日: 2022-09-01]
Hotpatch upgrades to GitHub Enterprise Server may fail. Upgrades with the full
.pkg
are unaffected. If the upgrade fails for your instance, workaround this issue by connecting to the administrative shell (ssh) and running the following non-interactive command:echo "grub-pc grub-pc/install_devices_empty boolean true" | sudo debconf-set-selections
If you're unable to upgrade, or if you need further assistance, contact GitHub Support. For more information, see "Creating a support ticket." [Updated: 2022-10-14]
Known issues
Enterprise Server 3.3.15
Download GitHub Enterprise Server 3.3.15October 25, 2022
📣 これは、このリリース シリーズの最新パッチ リリースではなく、これは Enterprise Server の最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグ修正に関しては、最新のリリースをお使いく� さい。
HIGH: Updated dependencies for the Management Console to the latest patch versions, which addresses security vulnerabilities including CVE-2022-30123 and CVE-2022-29181.
HIGH: Added checks to address an improper cache key vulnerability that allowed an unauthorized actor to access private repository files through a public repository. This vulnerability has been assigned CVE-2022-23738.
MEDIUM: Updated CommonMarker to address a scenario where parallel requests to the Markdown REST API could result in unbounded resource exhaustion. This vulnerability has been assigned CVE-2022-39209.
MEDIUM: Updated GitHub Actions runners to fix a bug that allowed environment variables in GitHub Actions jobs to escape the context of the variable and modify the invocation of
docker
commands directly. For more information, see the Actions Runner security advisory.MEDIUM: Updated Redis to 5.0.14 to address CVE-2021-32672 and CVE-2021-32762.
MEDIUM: An improper privilege management vulnerability was identified in GitHub Enterprise Server that allowed users with improper privileges to create or delete pages via the API. To exploit this vulnerability, an attacker would need to be added to an organization's repo with write permissions. This vulnerability was reported via the GitHub Bug Bounty program and has been assigned CVE-2022-23737.
LOW: Due to a CSRF vulnerability, a
GET
request to the instance'ssite/toggle_site_admin_and_employee_status
endpoint could toggle a user's site administrator status unknowingly.Packages have been updated to the latest security versions.
Security fixes
After a site administrator made a change that triggered a configuration run, such as disabling GitHub Actions, validation of services would sometimes fail with the message
WARNING: Validation encountered a problem
.After a site administrator installed a hotpatch containing changes to web interface assets such as JavaScript files or images, the instance did not serve the new assets.
Deleted assets and assets scheduled to be purged within a repository, such as LFS files, took too long to to be cleaned up.
If a user installed a GitHub App for the user account and then converted the account into an organization, the app was not granted organization permissions.
Bug fixes
To ensure that site administrators can successfully complete an upgrade, the instance will now execute a preflight check to ensure that the virtual machine meets minimum hardware requirements. The check also verifies Elasticsearch's health. You can review the current requirements for CPU, memory, and storage for GitHub Enterprise Server in the "Minimum requirements" section within each article in "Setting up a GitHub Enterprise Server instance."
Changes
After upgrading to GitHub Enterprise Server 3.3, GitHub Actions may fail to start automatically. To resolve this issue, connect to the appliance via SSH and run the
ghe-actions-start
command.On a freshly set up GitHub Enterprise Server instance without any users, an attacker could create the first admin user.
Custom firewall rules are removed during the upgrade process.
Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.
Issues cannot be closed if they contain a permalink to a blob in the same repository, where the blob's file path is longer than 255 characters.
When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.
The GitHub Packages npm registry no longer returns a time value in metadata responses. This was done to allow for substantial performance improvements. We continue to have all the data necessary to return a time value as part of the metadata response and will resume returning this value in the future once we have solved the existing performance issues.
Resource limits that are specific to processing pre-receive hooks may cause some pre-receive hooks to fail.
GitHub Actions storage settings cannot be validated and saved in the [Management Console] when "Force Path Style" is selected, and must instead be configured with the
ghe-actions-precheck
command line utility.GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした� �合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでく� さい。 修正プログラ� は、3.5.5 および 3.6.1 パッチ リリースで入手できます。
3.4 を介したアップグレードを計画する� �合は、アップグレード アシスタントに関する記事を参照してく� さい。 [更新日: 2022-09-01]
Hotpatch upgrades to GitHub Enterprise Server may fail. Upgrades with the full
.pkg
are unaffected. If the upgrade fails for your instance, workaround this issue by connecting to the administrative shell (ssh) and running the following non-interactive command:echo "grub-pc grub-pc/install_devices_empty boolean true" | sudo debconf-set-selections
If you're unable to upgrade, or if you need further assistance, contact GitHub Support. For more information, see "Creating a support ticket." [Updated: 2022-10-14]
Known issues
Enterprise Server 3.3.14
Download GitHub Enterprise Server 3.3.14September 21, 2022
📣 これは、このリリース シリーズの最新パッチ リリースではなく、これは Enterprise Server の最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグ修正に関しては、最新のリリースをお使いく� さい。
HIGH: A GitHub App could use a scoped user-to-server token to bypass user authorization logic and escalate privileges.
MEDIUM: The use of a Unicode right-to-left override character in the list of accessible files for a GitHub App could obscure additional files that the app could access.
Packages have been updated to the latest security versions.
Security fixes
Installation of a TLS certificate failed when the certificate's subject string included UTF-8 characters.
Configuration runs could fail when
retry-limit
orretry-sleep-duration
were manually set by an administrator usingghe-config
.In some cases, the Management Console's monitor dashboard would not load correctly.
Removed a non-functional link for exporting Management Console monitor graphs as a PNG image.
When sending a support bundle to GitHub Enterprise Support using
ghe-support-upload
, the-t
option would not successfully associate the uploaded bundle with the specified ticket.A link back to the security settings for the instance's enterprise account could render an incorrect view.
Git clones or fetches over SSH could experience data corruption for transfers over 1GB in size.
After a user deleted or restored packages from the web interface, counts for packages could render incorrectly.
After successful configuration of Dependabot and alert digest emails, the instance would not send digest emails.
Manually disabled GitHub Actions workflows in a repository were re-enabled if the repository received a push containing more than 2048 commits, or if the repository's default branch changed.
When using a VPC endpoint URL as an AWS S3 URL for GitHub Packages, publication and installation of packages failed.
Bug fixes
After upgrading to GitHub Enterprise Server 3.3, GitHub Actions may fail to start automatically. To resolve this issue, connect to the appliance via SSH and run the
ghe-actions-start
command.On a freshly set up GitHub Enterprise Server instance without any users, an attacker could create the first admin user.
Custom firewall rules are removed during the upgrade process.
Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.
Issues cannot be closed if they contain a permalink to a blob in the same repository, where the blob's file path is longer than 255 characters.
When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.
The GitHub Packages npm registry no longer returns a time value in metadata responses. This was done to allow for substantial performance improvements. We continue to have all the data necessary to return a time value as part of the metadata response and will resume returning this value in the future once we have solved the existing performance issues.
Resource limits that are specific to processing pre-receive hooks may cause some pre-receive hooks to fail.
GitHub Actions storage settings cannot be validated and saved in the [Management Console] when "Force Path Style" is selected, and must instead be configured with the
ghe-actions-precheck
command line utility.GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした� �合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでく� さい。 修正プログラ� は、3.5.5 および 3.6.1 パッチ リリースで入手できます。
3.4 を介したアップグレードを計画する� �合は、アップグレード アシスタントに関する記事を参照してく� さい。 [更新日: 2022-09-01]
Hotpatch upgrades to GitHub Enterprise Server may fail. Upgrades with the full
.pkg
are unaffected. If the upgrade fails for your instance, workaround this issue by connecting to the administrative shell (ssh) and running the following non-interactive command:echo "grub-pc grub-pc/install_devices_empty boolean true" | sudo debconf-set-selections
If you're unable to upgrade, or if you need further assistance, contact GitHub Support. For more information, see "Creating a support ticket." [Updated: 2022-10-14]
Known issues
Enterprise Server 3.3.13
Download GitHub Enterprise Server 3.3.13August 30, 2022
📣 これは、このリリース シリーズの最新パッチ リリースではなく、これは Enterprise Server の最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグ修正に関しては、最新のリリースをお使いく� さい。
一時的なアクセスのためにリポジトリのロックを解除した後、サイト管理者はリポジトリのセキュリティ製品の設定を管理できませんでした。
管理コンソールと
/home/admin/.ssh/authorized_keys
ファイルの両方に、重複する管理 SSH キーが表示されることがありました。� �合によっては、
ghe-cluster-config-apply
を実行して空の構成をクラスターの既存のノードにレプリケートできました。ghe-config-apply
で開始された構成の実行が、完了しないこと、またはContainer count mismatch
エラーを返すことがありました。GitHub Enterprise Server インスタンス上の自己署名 TLS 証明書を更新した後、Web インターフェイスの一部のページの UI 要� が表示されませんでした。
� �合によっては、スレッドセーフではないにも関わらず同時に使われたライブラリのため、バックグラウンド タスクが停止することがありました。
Bug fixes
並列化されたログ サニタイズの結果、サポート バンドルの生成が速くなっています。サポート バンドルについて詳しくは、「GitHub Support へのデータの提供」をご覧く� さい。
Enterprise の監査ログに含まれるユーザー生成イベントが増えました (
project.create
など)。REST API からも、追� のユーザー生成イベントが返されます (repo.create
など)。詳しくは、「企業の監査ログにアクセスする」と「Enterprise 用の監査ログ API の使用」をご覧く� さい。
Changes
GitHub Enterprise Server 3.3 にアップグレードした後、GitHub Actions が自動的に開始しないことがあります。この問題を解決するには、SSH を使ってアプライアンスに接続し、
ghe-actions-start
コマンドを実行します。GitHub Enterprise Server インスタンスを設定したばかりでユーザーがいない� �合、攻撃者が最初の管理者ユーザーを作成できました。
カスタ� のファイアウォール規則は、アップグレード プロセス中に削除されます。
Web インターフェイスからアップロードされた Git LFS 追跡ファイルが誤ってリポジトリに直接追� されます。
同じリポジトリ内の BLOB への固定リンクが含まれ、その BLOB のファイル パスが 255 文字を超える� �合、issue をクローズできません。
GitHub Connect で [Users can search GitHub.com](ユーザーが GitHub.com を検索できる) が有効になっている� �合、プライベートおよび内部リポジトリの issue は GitHub.com の検索結果に含まれません。
GitHub Packages npm レジストリが、メタデータ応答で時刻値を返さなくなります。これは、パフォーマンスの大幅な向上を見込んで行われました。メタデータ応答の一部として時刻値を返すために必要なすべてのデータを引き続き保持します。また、既存のパフォーマンスの問題を解決したら、将来的にはこの値を再び返す予定です。
pre-receive フックの処理に固有のリソース制限が、一部の pre-receive フックのエラーを引き起こす� �合があります。
[Force Path Style](パス スタイルの強制) がオンになっていると、GitHub Actions のストレージ設定を検証して [Management Console] に保存することができず、代わりに
ghe-actions-precheck
コマンド ライン ユーティリティで構成する必要があります。GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした� �合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでく� さい。 修正プログラ� は、3.5.5 および 3.6.1 パッチ リリースで入手できます。
3.4 を介したアップグレードを計画する� �合は、アップグレード アシスタントに関する記事を参照してく� さい。 [更新日: 2022-09-01]
Known issues
Enterprise Server 3.3.12
Download GitHub Enterprise Server 3.3.12August 11, 2022
📣 これは、このリリース シリーズの最新パッチ リリースではなく、これは Enterprise Server の最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグ修正に関しては、最新のリリースをお使いく� さい。
CRITICAL: GitHub Enterprise Server's Elasticsearch container used a version of OpenJDK 8 that was vulnerable to an integer truncation issue when processing malicious XSLT stylesheets. The vulnerability is tracked as CVE-2022-34169.
HIGH: Previously installed apps on user accounts were automatically granted permission to access an organization on scoped access tokens after the user account was transformed into an organization account. This vulnerability was reported via the GitHub Bug Bounty program.
Security fixes
When a custom dormancy threshold was set for the instance, suspending all dormant users did not reliably respect the threshold. For more information about dormancy, see "Managing dormant users."
Bug fixes
The enterprise audit log now includes more user-generated events, such as
project.create
. The REST API also returns additional user-generated events, such asrepo.create
. For more information, see "Accessing the audit log for your enterprise" and "Using the audit log API for your enterprise."
Changes
After upgrading to GitHub Enterprise Server 3.3, GitHub Actions may fail to start automatically. To resolve this issue, connect to the appliance via SSH and run the
ghe-actions-start
command.On a freshly set up GitHub Enterprise Server instance without any users, an attacker could create the first admin user.
Custom firewall rules are removed during the upgrade process.
Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.
Issues cannot be closed if they contain a permalink to a blob in the same repository, where the blob's file path is longer than 255 characters.
When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.
The GitHub Packages npm registry no longer returns a time value in metadata responses. This was done to allow for substantial performance improvements. We continue to have all the data necessary to return a time value as part of the metadata response and will resume returning this value in the future once we have solved the existing performance issues.
Resource limits that are specific to processing pre-receive hooks may cause some pre-receive hooks to fail.
GitHub Actions storage settings cannot be validated and saved in the [Management Console] when "Force Path Style" is selected, and must instead be configured with the
ghe-actions-precheck
command line utility.GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした� �合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでく� さい。 修正プログラ� は、3.5.5 および 3.6.1 パッチ リリースで入手できます。
3.4 を介したアップグレードを計画する� �合は、アップグレード アシスタントに関する記事を参照してく� さい。 [更新日: 2022-09-01]
The file finder does not return any results. To restore functionality, reinstall the 3.3.12 patch release using a full upgrade package. For more information, see "Upgrading GitHub Enterprise Server."
Known issues
Enterprise Server 3.3.11
Download GitHub Enterprise Server 3.3.11July 21, 2022
📣 これは、このリリース シリーズの最新パッチ リリースではなく、これは Enterprise Server の最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグ修正に関しては、最新のリリースをお使いく� さい。
中: サーバー側リクエスト フォージェリ (SSRF) によって Subversion (SVN) ブリッジを強制し、任意のデータを Memcached に挿入することによりリモート コードを実行する可能性のある攻撃を防ぎます。
中: 攻撃者が GitHub Enterprise Server Web インターフェイス内のドロップダウン UI 要� でクロスサイト スクリプティング (XSS) の脆弱性を悪用することにより、JavaScript のコードを実行するのを防ぎます。
Grafana をバージョン 7.5.16 に更新します。これにより、CVE-2020-13379 や CVE-2022-21702 などのさまざまなセキュリティの脆弱性が対処されます。
パッケージは最新のセキュリティ バージョンに更新されました。
中: GitHub Enterprise Server で、任意の属性のインジェクションを可能にする� �納された XSS の脆弱性が見つかりました。このインジェクションは、Github の Content Security Policy (CSP) によってブロックされました。この脆弱性は、GitHub Bug Bounty プログラ� を通じて� �告され、CVE-2022-23733 を割り当てられました。[更新日: 2022-07-31]
Security fixes
解凍ツールを使って解凍すると成果物の zip アーカイブ内のファイルのアクセス許可が 000 になった問題を修正しました。現在は、GitHub.com での動作と同じように、ファイルのアクセス許可は 644 に設定されます。
collectd デーモンのメモリ消費が多すぎることがありました。
� �合によっては、ローテーションされたログ ファイルのバックアップが蓄積し、ストレージを消費し過ぎることがありました。
新しい機能リリースにアップグレードしてから構成を実行した後、インデックスの再構築の間に Elasticsearch が過剰な例外をログすることがありました。
複数の承認レビューを必要とする保護されたブランチで、pull request がマージされる承認レビューが必要な数より少ない� �合がありました。
LDAP 認証を使うインスタンスで、ユーザー名とパスワード両方のテキスト フィールドが表示されていると、sudo モードの認証プロンプトにより、既定でカーソルがパスワード フィールド内に誤って配置されました。
Bug fixes
GitHub Enterprise Server 3.3 にアップグレードした後、GitHub Actions が自動的に開始しないことがあります。この問題を解決するには、SSH を使ってアプライアンスに接続し、
ghe-actions-start
コマンドを実行します。GitHub Enterprise Server インスタンスを設定したばかりでユーザーがいない� �合、攻撃者が最初の管理者ユーザーを作成できました。
カスタ� のファイアウォール規則は、アップグレード プロセス中に削除されます。
Web インターフェイスからアップロードされた Git LFS 追跡ファイルが誤ってリポジトリに直接追� されます。
同じリポジトリ内の BLOB への固定リンクが含まれ、その BLOB のファイル パスが 255 文字を超える� �合、issue をクローズできません。
GitHub Connect で [Users can search GitHub.com](ユーザーが GitHub.com を検索できる) が有効になっている� �合、プライベートおよび内部リポジトリの issue は GitHub.com の検索結果に含まれません。
GitHub Packages npm レジストリが、メタデータ応答で時刻値を返さなくなります。これは、パフォーマンスの大幅な向上を見込んで行われました。メタデータ応答の一部として時刻値を返すために必要なすべてのデータを引き続き保持します。また、既存のパフォーマンスの問題を解決したら、将来的にはこの値を再び返す予定です。
pre-receive フックの処理に固有のリソース制限が、一部の pre-receive フックのエラーを引き起こす� �合があります。
[Force Path Style](パス スタイルの強制) がオンになっていると、GitHub Actions のストレージ設定を検証して [Management Console] に保存することができず、代わりに
ghe-actions-precheck
コマンド ライン ユーティリティで構成する必要があります。GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした� �合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでく� さい。 修正プログラ� は、3.5.5 および 3.6.1 パッチ リリースで入手できます。
3.4 を介したアップグレードを計画する� �合は、アップグレード アシスタントに関する記事を参照してく� さい。 [更新日: 2022-09-01]
Known issues
Enterprise Server 3.3.10
Download GitHub Enterprise Server 3.3.10June 28, 2022
📣 これは、このリリース シリーズの最新パッチ リリースではなく、これは Enterprise Server の最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグ修正に関しては、最新のリリースをお使いく� さい。
GitHub Enterprise Server 3.3 にアップグレードした後、GitHub Actions が自動的に開始しないことがあります。この問題を解決するには、SSH を使ってアプライアンスに接続し、
ghe-actions-start
コマンドを実行します。GitHub Enterprise Server インスタンスを設定したばかりでユーザーがいない� �合、攻撃者が最初の管理者ユーザーを作成できました。
カスタ� のファイアウォール規則は、アップグレード プロセス中に削除されます。
Web インターフェイスからアップロードされた Git LFS 追跡ファイルが誤ってリポジトリに直接追� されます。
同じリポジトリ内の BLOB への固定リンクが含まれ、その BLOB のファイル パスが 255 文字を超える� �合、issue をクローズできません。
GitHub Connect で [Users can search GitHub.com](ユーザーが GitHub.com を検索できる) が有効になっている� �合、プライベートおよび内部リポジトリの issue は GitHub.com の検索結果に含まれません。
GitHub Packages npm レジストリが、メタデータ応答で時刻値を返さなくなります。これは、パフォーマンスの大幅な向上を見込んで行われました。メタデータ応答の一部として時刻値を返すために必要なすべてのデータを引き続き保持します。また、既存のパフォーマンスの問題を解決したら、将来的にはこの値を再び返す予定です。
pre-receive フックの処理に固有のリソース制限が、一部の pre-receive フックのエラーを引き起こす� �合があります。
[Force Path Style](パス スタイルの強制) がオンになっていると、GitHub Actions のストレージ設定を検証して [Management Console] に保存することができず、代わりに
ghe-actions-precheck
コマンド ライン ユーティリティで構成する必要があります。GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした� �合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでく� さい。 修正プログラ� は、3.5.5 および 3.6.1 パッチ リリースで入手できます。
3.4 を介したアップグレードを計画する� �合は、アップグレード アシスタントに関する記事を参照してく� さい。 [更新日: 2022-09-01]
Known issues
Enterprise Server 3.3.9
Download GitHub Enterprise Server 3.3.9June 09, 2022
📣 これは、このリリース シリーズの最新パッチ リリースではなく、これは Enterprise Server の最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグ修正に関しては、最新のリリースをお使いく� さい。
GitHub Enterprise Server 構成ファイル内のホスト名を検証するための内部スクリプトは、ホスト名の文字列が "." (ピリオド文字) で始まっている� �合、エラーを返しました。
プライマリ ノードのホスト名が 60 文字より長い HA 構成では、MySQL の構成が失敗しました
--gateway
引数がghe-setup-network
コマンドに追� され、コマンド ラインを使ってネットワーク設定を構成するときに、ゲートウェイ アドレスを渡せるようになりました。画像添付ファイルが削除された� �合、
404 Not Found
エラーではなく500 Internal Server Error
が返されました。サイト管理者ダッシュボードで� �告される "インスタンス全体の最大コミッター数" の計算が、正しくありませんでした。
GitHub Enterprise Server Backup Utilities を使って復元を実行するとき、リポジトリ レプリカのデータベース エントリが正しくないと、データベースが� �損しました。
Bug fixes
クラスター サポート バンドルを生成するときのメトリックの包含を最適化しました。
Elasticsearch が有効な黄色状態を� �告する HA 構成では、前の修正で行われた変更により、
ghe-repl-stop
コマンドがブロックされ、レプリケーションを停止できません。サービスが通常状態または有効な黄色状態のときに、ghe-repo-stop --force
を使うと、Elasticsearch が強制的に停止されるようになります。ghe-migrator
を使うか、GitHub.com からエクスポートすると、移行による pull request の添付ファイルのエクスポートが失敗します。
Changes
GitHub Enterprise Server 3.3 にアップグレードした後、GitHub Actions が自動的に開始しないことがあります。この問題を解決するには、SSH を使ってアプライアンスに接続し、
ghe-actions-start
コマンドを実行します。GitHub Enterprise Server インスタンスを設定したばかりでユーザーがいない� �合、攻撃者が最初の管理者ユーザーを作成できました。
カスタ� のファイアウォール規則は、アップグレード プロセス中に削除されます。
Web インターフェイスからアップロードされた Git LFS 追跡ファイルが誤ってリポジトリに直接追� されます。
同じリポジトリ内の BLOB への固定リンクが含まれ、その BLOB のファイル パスが 255 文字を超える� �合、issue をクローズできません。
GitHub Connect で [Users can search GitHub.com](ユーザーが GitHub.com を検索できる) が有効になっている� �合、プライベートおよび内部リポジトリの issue は GitHub.com の検索結果に含まれません。
GitHub Packages npm レジストリが、メタデータ応答で時刻値を返さなくなります。これは、パフォーマンスの大幅な向上を見込んで行われました。メタデータ応答の一部として時刻値を返すために必要なすべてのデータを引き続き保持します。また、既存のパフォーマンスの問題を解決したら、将来的にはこの値を再び返す予定です。
pre-receive フックの処理に固有のリソース制限が、一部の pre-receive フックのエラーを引き起こす� �合があります。
[Force Path Style](パス スタイルの強制) がオンになっていると、GitHub Actions のストレージ設定を検証して [Management Console] に保存することができず、代わりに
ghe-actions-precheck
コマンド ライン ユーティリティで構成する必要があります。GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした� �合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでく� さい。 修正プログラ� は、3.5.5 および 3.6.1 パッチ リリースで入手できます。
3.4 を介したアップグレードを計画する� �合は、アップグレード アシスタントに関する記事を参照してく� さい。 [更新日: 2022-09-01]
Known issues
Enterprise Server 3.3.8
Download GitHub Enterprise Server 3.3.8May 17, 2022
📣 これは、このリリース シリーズの最新パッチ リリースではなく、これは Enterprise Server の最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグ修正に関しては、最新のリリースをお使いく� さい。
中: nginx リゾルバーでセキュリティの問題が見つかりました。DNS サーバーからの UDP パケットを偽� できる攻撃者は、1 バイトのメモリを上書きして、ワーカー プロセスをクラッシュさせたり、損傷を与える可能性がある影響を及ぼすことができました。この脆弱性には、CVE-2021-23017 が割り当てられました。
Git セキュリティ適用ブログ記事で発表された脆弱性に対処するため、
actions/checkout@v2
とactions/checkout@v3
アクションを更新しました。パッケージは最新のセキュリティ バージョンに更新されました。
Security fixes
一部のクラスター トポロジでは、
ghe-cluster-status
コマンドで/tmp
に空のディレクトリが残りました。SNMP により、多数の
Cannot statfs
エラー メッセージが syslog に誤ってログされましたSAML 認証で構成され、組み込みフォールバックが有効になっているインスタンスでは、組み込みユーザーが、ログアウトした後で生成されたページからサインインしようとすると、"ログイン" ループでスタックしていました。
/stafftools/repositories/:owner/:repo/disk
ページからgit fsck
の出力を表示しようとすると、500 Internal Server Error
で失敗しました。SAML で暗号化されたアサーションを使うと、一部のアサーションが SSH キーを検証済みとして正しくマークしませんでした。
issue コメントにアップロードされたビデオが、適切にレンダリングされませんでした。
リポジトリ ページでファイル ファインダーを使い、検索フィールド内でバックスペース キーを押すと、検索結果が何回も一覧表示され、レンダリングの問題が発生しました。
GitHub Enterprise Importer を使ってリポジトリをインポートすると、誤って構成されたプロジェクト タイ� ライン イベントのため、一部の issue がインポートされませんでした。
ghe-migrator
を使うと、issue と pull request のビデオ添付ファイルが、移行でインポートされませんでした。非 ASCII 文字を含むタグがリポジトリにあると、[リリース] ページで 500 エラーが返されました。 [更新日: 2022-06-10]
Bug fixes
高可用性の構成では、管理コンソールのレプリケーション概要ページに、現在のレプリケーション構成� けが表示され、現在のレプリケーション状態は表示されないことに注意してく� さい。
GitHub Packages を有効にした� �合、接続文字列としての Shared Access Signature (SAS) トークンの使用は現在サポートされていないことに注意してく� さい。
サポート バンドルに、MySQL に� �納されているテーブルの行数が含まれるようになりました。
メンテナンスをスケジュールするリポジトリ ネットワークを決定するとき、到達できないオブジェクトのサイズはカウントされなくなりました。
run_started_at
応答フィールドが、ワークフロー実行 API とworkflow_run
イベント Webhook ペイロードに含まれるようになりました。
Changes
GitHub Enterprise Server 3.3 にアップグレードした後、GitHub Actions が自動的に開始しないことがあります。この問題を解決するには、SSH を使ってアプライアンスに接続し、
ghe-actions-start
コマンドを実行します。GitHub Enterprise Server インスタンスを設定したばかりでユーザーがいない� �合、攻撃者が最初の管理者ユーザーを作成できました。
カスタ� のファイアウォール規則は、アップグレード プロセス中に削除されます。
Web インターフェイスからアップロードされた Git LFS 追跡ファイルが誤ってリポジトリに直接追� されます。
同じリポジトリ内の BLOB への固定リンクが含まれ、その BLOB のファイル パスが 255 文字を超える� �合、issue をクローズできません。
GitHub Connect で [Users can search GitHub.com](ユーザーが GitHub.com を検索できる) が有効になっている� �合、プライベートおよび内部リポジトリの issue は GitHub.com の検索結果に含まれません。
GitHub Packages npm レジストリが、メタデータ応答で時刻値を返さなくなります。これは、パフォーマンスの大幅な向上を見込んで行われました。メタデータ応答の一部として時刻値を返すために必要なすべてのデータを引き続き保持します。また、既存のパフォーマンスの問題を解決したら、将来的にはこの値を再び返す予定です。
pre-receive フックの処理に固有のリソース制限が、一部の pre-receive フックのエラーを引き起こす� �合があります。
[Force Path Style](パス スタイルの強制) がオンになっていると、GitHub Actions のストレージ設定を検証して [Management Console] に保存することができず、代わりに
ghe-actions-precheck
コマンド ライン ユーティリティで構成する必要があります。GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした� �合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでく� さい。 修正プログラ� は、3.5.5 および 3.6.1 パッチ リリースで入手できます。
3.4 を介したアップグレードを計画する� �合は、アップグレード アシスタントに関する記事を参照してく� さい。 [更新日: 2022-09-01]
Known issues
Enterprise Server 3.3.7
Download GitHub Enterprise Server 3.3.7April 20, 2022
📣 これは、このリリース シリーズの最新パッチ リリースではなく、これは Enterprise Server の最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグ修正に関しては、最新のリリースをお使いく� さい。
マニフェスト ファイルがリポジトリから削除されるとき、マニフェストがリポジトリの [Dependency graph](依存関係グラフ) ページから削除されていませんでした。
GitHub Actions の成果物の取得とログ アーカイブのダウンロードが常に失敗するようになった回帰を解決しました。状況によっては、
localhost
を使用する内部通信用の URL の解決を停止し、代わりにインスタンスのホスト名を誤って使用していました。高可用性のノードをアップグレード パッケージとペアでアップグレードすると、Elasticsearch が不整合な状態になる� �合があります。
.backup
という拡張子のローテーションされるログ ファイルが、システ� ログを� �納するディレクトリにたまっていました。一部のクラスター トポロジでは、コマンド ライン ユーティリティ
ghe-spokesctl
とghe-btop
の実行に失敗する� �合があります。elasticsearch-upgrade
サービスが並行して複数回実行されるため、パッケージのアップグレード時に Elasticsearch インデックスが複製される可能性があります。pull request ビューとコミット ビューで、Git LFS によって追跡されている一部のファイルを、リッチ差分で読み込むことができませんでした。
ユーザー アカウントを組織に変換したとき、ユーザー アカウントが GitHub Enterprise Server Enterprise アカウントの所有者� った� �合、変換された組織が Enterprise 所有者一覧に誤って表示されます。
Enterprise Administration REST API を使用して権限借用 OAuth トークンを作成すると、OAuth アプリケーション ID に一致する統合が既に存在する� �合、エラーが発生していました。
Secret Scanning REST API で、検出されたシークレットに UTF8 文字が含まれていると、
500
応答コードが返されました。データがローカル キャッシュの� �所にある� �合でも、リポジトリ キャッシュ サーバーがキャッシュではない� �所からデータを提供することがありました。
Bug fixes
GitHub Enterprise Server 3.3 にアップグレードした後、GitHub Actions が自動的に開始しないことがあります。この問題を解決するには、SSH を使ってアプライアンスに接続し、
ghe-actions-start
コマンドを実行します。GitHub Enterprise Server インスタンスを設定したばかりでユーザーがいない� �合、攻撃者が最初の管理者ユーザーを作成できました。
カスタ� のファイアウォール規則は、アップグレード プロセス中に削除されます。
Web インターフェイスからアップロードされた Git LFS 追跡ファイルが誤ってリポジトリに直接追� されます。
同じリポジトリ内の BLOB への固定リンクが含まれ、その BLOB のファイル パスが 255 文字を超える� �合、issue をクローズできません。
GitHub Connect で [Users can search GitHub.com](ユーザーが GitHub.com を検索できる) が有効になっている� �合、プライベートおよび内部リポジトリの issue は GitHub.com の検索結果に含まれません。
GitHub Packages npm レジストリが、メタデータ応答で時刻値を返さなくなります。これは、パフォーマンスの大幅な向上を見込んで行われました。メタデータ応答の一部として時刻値を返すために必要なすべてのデータを引き続き保持します。また、既存のパフォーマンスの問題を解決したら、将来的にはこの値を再び返す予定です。
pre-receive フックの処理に固有のリソース制限が、一部の pre-receive フックのエラーを引き起こす� �合があります。
[Force Path Style](パス スタイルの強制) がオンになっていると、GitHub Actions のストレージ設定を検証して [Management Console] に保存することができず、代わりに
ghe-actions-precheck
コマンド ライン ユーティリティで構成する必要があります。GitHub Enterprise Server 3.3 のインスタンスを Azure にインストールし、32 個以上の CPU コアでプロビジョニングすると、現在の Linux カーネルに存在するバグのため、起動しませんでした。 [更新日: 2022-04-08]
GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした� �合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでく� さい。 修正プログラ� は、3.5.5 および 3.6.1 パッチ リリースで入手できます。
3.4 を介したアップグレードを計画する� �合は、アップグレード アシスタントに関する記事を参照してく� さい。 [更新日: 2022-09-01]
Known issues
Enterprise Server 3.3.6
Download GitHub Enterprise Server 3.3.6April 04, 2022
📣 これは、このリリース シリーズの最新パッチ リリースではなく、これは Enterprise Server の最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグ修正に関しては、最新のリリースをお使いく� さい。
中: GitHub Enterprise Server 管理コンソールでパス走査の脆弱性が確認されました。これにより、CSRF 保護のバイパスが可能になりました。この脆弱性により、3.5 より前の GitHub Enterprise Server のすべてのバージョンが影響を受けます。バージョン 3.1.19、3.2.11、3.3.6、3.4.1 で修正されました。この脆弱性は、GitHub Bug Bounty プログラ� から� �告され、CVE-2022-23732 が割り当てられました。
中:
yajil
の 1.x ブランチと 2.x ブランチで整数オーバーフローの脆弱性が確認されました。これは、大規模入力 (~2GB) の処理時に後続のヒープ メモリが� �損する原� になります。この脆弱性は内部的に� �告され、CVE-2022-24795 が割り当てられました。GitHub Actions が有効にされた� �合、サポート バンドルには機密ファイルが含まれている可能性があります。
パッケージは最新のセキュリティ バージョンに更新されました。
Security fixes
Dependabot を有効にすると、エラーによって一部のセキュリティ アドバイザリが適用されなくなったものとして一時的に表示されました。
GitHub Enterprise Server をアップグレードした後、古い構成オプションが存在すると、Minio プロセスの CPU 使用率が高くなりました。
以前のリリースでこれらのプロトコル バージョンの削除が行われたにもかかわらず、管理コンソールの [プライバシー] 設定の
TLS 1.0
とTLS 1.1
を有効にするオプションが表示されていました。HA 環境では、MSSQL レプリケーションを構成するには、GitHub Actions を初めて有効にした後で追� の手動手� �が必要な� �合がありました。
ホットパッチの後、内部構成ファイルのサブセットの更新がより確実に行われます。
ghe-run-migrations
スクリプトでは、一時証明書名の生成が正しく行われない� �合があります。クラスター環境では、複数の Web ノードにわたる内部 API 呼び出しの失敗とともに、Git LFS 操作が失敗する可能性があります。
syscall
権限が不十分なため、gpg --import
を使用する pre-receive フックがタイ� アウトしました。一部のクラスター トポロジでは、webhook デリバリー情� �が利用できませんでした。
Elasticsearch 正常性チェックでは、移行の実行時に黄色のクラスター状態は許可されません。
リポジトリの Web UI に機能しない [Discussions](ディスカッション) タブが表示されました。
ユーザーがそのユーザー アカウントを組織に変換した結果として作成された組織は、グローバル Enterprise アカウントに追� されませんでした。
アクセスできないページへのリンクは削除されていました。
保留中のジョブをレンダリングすると、GitHub Actions のデプロイ グラフにエラーが表示されました。
大量の不必要なバックグラウンド ジョブがキューに� �納されたため、一部のインスタンスの CPU 使用率が高くなりました。
LDAP ユーザー同期ジョブが、前に同期された GPG キーを同期しようとして失敗しました。
ユーザーから pull request へのリンクの後、[Pull Request] ダッシュボードでリポジトリ ヘッダーが読み込まれませんでした。
チー� をレビュー担当者として pull request に追� すると、そのチー� のメンバー数が誤って表示されることがありました。
SCIM グループによって外部的に管理されているメンバーを削除しようとすると、チー� メンバーシップ削除 API エンドポイントがエラーで応答しました。
休� ユーザーの数が多いと、GitHub Connect 構成の失敗の原� になることがありました。
サイト管理者の Web UI の [Feature & beta enrollments](機能とベータの登録) ページが誤って利用可能になっていました。
サイト フッターの [Site admin mode](サイト管理者モード) リンクをクリックしたとき、状態が変わりませんでした。
spokesctl cache-policy rm
コマンドが、error: failed to delete cache policy
(エラー: キャッシュ ポリシーを削除できませんでした) というメッセージで失敗しなくなりました。
Bug fixes
大規模なクラスター トポロジに対応するために、Memcached 接続制限値が増やされました。
依存関係グラフ API が、以前は静的に定義されたポートを使用して実行されていました。
クラスター関連の Elasticsearch シャード設定の既定のシャード数が更新されました。
[People](ユーザー) ページで Organization のロールを使って Enterprise のメンバーをフィルター処理するときの、ドロップダウン メニュー� �目のテキストが改善されました。
"Triage" と "Maintain" チー� のロールは、リポジトリ移行時に保持されます。
Enterprise 所有者によって行われる Web 要求のパフォーマンスが向上しました。
Changes
GitHub Enterprise Server 3.3 にアップグレードした後、GitHub Actions が自動的に開始しないことがあります。この問題を解決するには、SSH を使ってアプライアンスに接続し、
ghe-actions-start
コマンドを実行します。GitHub Enterprise Server インスタンスを設定したばかりでユーザーがいない� �合、攻撃者が最初の管理者ユーザーを作成できました。
カスタ� のファイアウォール規則は、アップグレード プロセス中に削除されます。
Web インターフェイスからアップロードされた Git LFS 追跡ファイルが誤ってリポジトリに直接追� されます。
同じリポジトリ内の BLOB への固定リンクが含まれ、その BLOB のファイル パスが 255 文字を超える� �合、issue をクローズできません。
GitHub Connect で [Users can search GitHub.com](ユーザーが GitHub.com を検索できる) が有効になっている� �合、プライベートおよび内部リポジトリの issue は GitHub.com の検索結果に含まれません。
GitHub Packages npm レジストリが、メタデータ応答で時刻値を返さなくなります。これは、パフォーマンスの大幅な向上を見込んで行われました。メタデータ応答の一部として時刻値を返すために必要なすべてのデータを引き続き保持します。また、既存のパフォーマンスの問題を解決したら、将来的にはこの値を再び返す予定です。
pre-receive フックの処理に固有のリソース制限が、一部の pre-receive フックのエラーを引き起こす� �合があります。
[Force Path Style](パス スタイルの強制) がオンになっていると、GitHub Actions のストレージ設定を検証して [Management Console] に保存することができず、代わりに
ghe-actions-precheck
コマンド ライン ユーティリティで構成する必要があります。GitHub Enterprise Server 3.3 のインスタンスを Azure にインストールし、32 個以上の CPU コアでプロビジョニングすると、現在の Linux カーネルに存在するバグのため、起動しませんでした。 [更新日: 2022-04-08]
GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした� �合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでく� さい。 修正プログラ� は、3.5.5 および 3.6.1 パッチ リリースで入手できます。
3.4 を介したアップグレードを計画する� �合は、アップグレード アシスタントに関する記事を参照してく� さい。 [更新日: 2022-09-01]
Known issues
Enterprise Server 3.3.5
Download GitHub Enterprise Server 3.3.5March 01, 2022
📣 これは、このリリース シリーズの最新パッチ リリースではなく、これは Enterprise Server の最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグ修正に関しては、最新のリリースをお使いく� さい。
高可用性レプリカのクロックがプライマリと同期されていなかった� �合、アップグレードに失敗する� �合があります。
2020 年 9 月 1 日以降に作成された OAuth アプリケーションでは、認可を確認 API エンドポイントを使用することができません。
Bug fixes
GitHub Enterprise Server 3.3 にアップグレードした後、GitHub Actions が自動的に開始しないことがあります。この問題を解決するには、SSH を使ってアプライアンスに接続し、
ghe-actions-start
コマンドを実行します。GitHub Enterprise Server インスタンスを設定したばかりでユーザーがいない� �合、攻撃者が最初の管理者ユーザーを作成できました。
カスタ� のファイアウォール規則は、アップグレード プロセス中に削除されます。
Web インターフェイスからアップロードされた Git LFS 追跡ファイルが誤ってリポジトリに直接追� されます。
同じリポジトリ内の BLOB への固定リンクが含まれ、その BLOB のファイル パスが 255 文字を超える� �合、issue はクローズできません。
GitHub Connect で [Users can search GitHub.com](ユーザーが GitHub.com を検索できる) が有効になっている� �合、プライベートおよび内部リポジトリの issue は GitHub.com の検索結果に含まれません。
GitHub Packages npm レジストリが、メタデータ応答で時刻値を返さなくなります。これは、パフォーマンスの大幅な向上を見込んで行われました。メタデータ応答の一部として時刻値を返すために必要なすべてのデータを引き続き保持します。また、既存のパフォーマンスの問題を解決したら、将来的にはこの値を再び返す予定です。
pre-receive フックの処理に固有のリソース制限が、一部の pre-receive フックのエラーを引き起こす� �合があります。
[Force Path Style](パス スタイルの強制) がオンになっていると、GitHub Actions のストレージ設定を検証して [Management Console] に保存することができず、代わりに
ghe-actions-precheck
コマンド ライン ユーティリティで構成する必要があります。GitHub Enterprise Server 3.3 のインスタンスを Azure にインストールし、32 個以上の CPU コアでプロビジョニングすると、現在の Linux カーネルに存在するバグのため、起動しませんでした。 [更新日: 2022-04-08]
GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした� �合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでく� さい。 修正プログラ� は、3.5.5 および 3.6.1 パッチ リリースで入手できます。
3.4 を介したアップグレードを計画する� �合は、アップグレード アシスタントに関する記事を参照してく� さい。 [更新日: 2022-09-01]
Known issues
Enterprise Server 3.3.4
Download GitHub Enterprise Server 3.3.4February 17, 2022
📣 これは、このリリース シリーズの最新パッチ リリースではなく、これは Enterprise Server の最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグ修正に関しては、最新のリリースをお使いく� さい。
GitHub Enterprise Server 3.3 にアップグレードした後、GitHub Actions が自動的に開始しないことがあります。この問題を解決するには、SSH を使ってアプライアンスに接続し、
ghe-actions-start
コマンドを実行します。GitHub Enterprise Server インスタンスを設定したばかりでユーザーがいない� �合、攻撃者が最初の管理者ユーザーを作成できました。
カスタ� のファイアウォール規則は、アップグレード プロセス中に削除されます。
Web インターフェイスからアップロードされた Git LFS 追跡ファイルが誤ってリポジトリに直接追� されます。
同じリポジトリ内の BLOB への固定リンクが含まれ、その BLOB のファイル パスが 255 文字を超える� �合、issue はクローズできません。
GitHub Connect で [Users can search GitHub.com](ユーザーが GitHub.com を検索できる) が有効になっている� �合、プライベートおよび内部リポジトリの issue は GitHub.com の検索結果に含まれません。
GitHub Packages npm レジストリが、メタデータ応答で時刻値を返さなくなります。これは、パフォーマンスの大幅な向上を見込んで行われました。メタデータ応答の一部として時刻値を返すために必要なすべてのデータを引き続き保持します。また、既存のパフォーマンスの問題を解決したら、将来的にはこの値を再び返す予定です。
pre-receive フックの処理に固有のリソース制限が、一部の pre-receive フックのエラーを引き起こす� �合があります。
[Force Path Style](パス スタイルの強制) がオンになっていると、GitHub Actions のストレージ設定を検証して [Management Console] に保存することができず、代わりに
ghe-actions-precheck
コマンド ライン ユーティリティで構成する必要があります。GitHub Enterprise Server 3.3 のインスタンスを Azure にインストールし、32 個以上の CPU コアでプロビジョニングすると、現在の Linux カーネルに存在するバグのため、起動しませんでした。 [更新日: 2022-04-08]
GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした� �合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでく� さい。 修正プログラ� は、3.5.5 および 3.6.1 パッチ リリースで入手できます。
3.4 を介したアップグレードを計画する� �合は、アップグレード アシスタントに関する記事を参照してく� さい。 [更新日: 2022-09-01]
Known issues
Enterprise Server 3.3.3
Download GitHub Enterprise Server 3.3.3February 01, 2022
📣 これは、このリリース シリーズの最新パッチ リリースではなく、これは Enterprise Server の最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグ修正に関しては、最新のリリースをお使いく� さい。
MySQL シークレットのローテーションから、
nginx
を手動で再起動するまで、ページを使用できなくなりました。GitHub Actions が有効な� �合、移行に失敗することがありました。
ISO 8601 の日付でメンテナンス スケジュールを設定すると、タイ� ゾーンが UTC に変換されないため、実際にスケジュールされる時刻が一致しませんでした。
cloud-config.service
に関する誤ったエラー メッセージがコンソールに出力されました。ghe-cluster-each
を使ってホットパッチをインストールした後、バージョン番号が正しく更新されませんでした。Webhook テーブル クリーンアップ ジョブが同時に実行でき、リソースの競合とジョブ実行時間の増� の原� になっていました。
プライマリからレプリカに対して
ghe-repl-teardown
を実行しても、MSSQL 可用性グループからそのレプリカが削除されませんでした。検証済みまたは承認済みドメインでのメール アドレスを持つユーザーへのメール ベースの通知を制限する機能が、正しく動作しませんでした。
CAS 認証の使用と [Reactivate suspended users](一時停止されているユーザーの再アクティブ化) オプションが有効になっていると、一時停止されているユーザーが自動的に再アクティブ化されませんでした。
セキュリティ アラート設定に関連するデータベース移行の実行時間が長くなると、アップグレードの完了が遅れることがありました。
Bug fixes
GitHub Enterprise Server 3.3 にアップグレードした後、GitHub Actions が自動的に開始しないことがあります。この問題を解決するには、SSH を使ってアプライアンスに接続し、
ghe-actions-start
コマンドを実行します。GitHub Enterprise Server インスタンスを設定したばかりでユーザーがいない� �合、攻撃者が最初の管理者ユーザーを作成できました。
カスタ� のファイアウォール規則は、アップグレード プロセス中に削除されます。
Web インターフェイスからアップロードされた Git LFS 追跡ファイルが誤ってリポジトリに直接追� されます。
イシューに同じリポジトリ内の BLOB への固定リンクが含まれていて、その BLOB のファイル パスが 255 文字を超えている� �合、そのイシューをクローズできません。
GitHub Connect で [Users can search GitHub.com](ユーザーが GitHub.com を検索できる) が有効になっている� �合、プライベートと内部リポジトリのイシューが GitHub.com の検索結果に含まれません。
GitHub Packages npm レジストリが、メタデータ応答で時刻値を返さなくなります。これは、パフォーマンスの大幅な向上を見込んで行われました。メタデータ応答の一部として時刻値を返すために必要なすべてのデータを引き続き保持します。また、既存のパフォーマンスの問題を解決したら、将来的にはこの値を再び返す予定です。
pre-receive フックの処理に固有のリソース制限が、一部の pre-receive フックのエラーを引き起こす� �合があります。
[Force Path Style](パス スタイルの強制) がオンになっていると、GitHub Actions のストレージ設定を検証して [Management Console] に保存することができず、代わりに
ghe-actions-precheck
コマンド ライン ユーティリティで構成する必要があります。GitHub Enterprise Server 3.3 のインスタンスを Azure にインストールし、32 個以上の CPU コアでプロビジョニングすると、現在の Linux カーネルに存在するバグのため、起動しませんでした。[更新日: 2022-04-08]
GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした� �合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでく� さい。 修正プログラ� は、3.5.5 および 3.6.1 パッチ リリースで入手できます。
3.4 を介したアップグレードを計画する� �合は、アップグレード アシスタントに関する記事を参照してく� さい。 [更新日: 2022-09-01]
Known issues
Enterprise Server 3.3.2
Download GitHub Enterprise Server 3.3.2January 18, 2022
📣 これは、このリリース シリーズの最新パッチ リリースではなく、これは Enterprise Server の最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグ修正に関しては、最新のリリースをお使いく� さい。
パッケージは最新のセキュリティ バージョンに更新されました。これらの更新では、Log4j がバージョン 2.17.1 に更新されました。注: GitHub Enterprise Server のこれらのバージョンで CVE-2021-44228、CVE-2021-45046、CVE-2021-45105、CVE-2021-44832 の影響に対処するには、3.3.1、3.2.6、3.1.14、3.0.22 でリリースされた以前の軽減策で十分です。
生成されたサポート バンドルでさらに多くのシークレットをサニタイズする
セキュリティ マネージャー ロールを持つ Teams のユーザーは、監視しているリポジトリのセキュリティ アラートに関する通知を受け取るようになります。
セキュリティ マネージャー コンポーネントは、チー� の最大数に達した後は、控えめに警告を表示するようになります。
リポジトリからセキュリティ マネージャー チー� を削除しようとすると、リポジトリのアクセス管理ページで 403 が返されます。
パッケージは最新のセキュリティ バージョンに更新されました。
Security fixes
古い GHES のインストールからアップグレードした後、Actions のセルフホステッド ランナーは自己更新または新しいジョブの実行に失敗しました。
GitHub Packages 用の BLOB ストレージとして MinIO を構成すると、ストレージの設定を検証できませんでした。
[Force Path Style](パス スタイルの強制) がオンになっていると、GitHub Actions のストレージ設定を検証して管理コンソールに保存できませんでした。
メンテナンス モードに設定して更新を行った後、Actions が停止状態のままになりました。
"ghe-config-apply" の実行は、"/data/user/tmp/pages" でのアクセス許可の問題のために失敗することがありました。
解像度の低いブラウザーでスクロールすると、管理コンソールの保存ボタンが表示されませんでした。
IOPS と Storage Traffic 監視グラフが、修正されたバージョンのアップグレードの後で更新されませんでした。
一部の Webhook 関連のジョブで、大量のログが生成されることがありました。
サイト管理者ページに、[課金] ナビゲーション� �目が表示されました。
複数のドキュメント リンクで、404 Not Found エラーが発生しました。
Bug fixes
GitHub Enterprise Server 3.3 にアップグレードした後、GitHub Actions が自動的に開始しないことがあります。この問題を解決するには、SSH を使ってアプライアンスに接続し、
ghe-actions-start
コマンドを実行します。GitHub Enterprise Server インスタンスを設定したばかりでユーザーがいない� �合、攻撃者が最初の管理者ユーザーを作成できました。
カスタ� のファイアウォール規則は、アップグレード プロセス中に削除されます。
Web インターフェイスからアップロードされた Git LFS 追跡ファイルが誤ってリポジトリに直接追� されます。
同じリポジトリ内の BLOB への固定リンクが含まれ、その BLOB のファイル パスが 255 文字を超える� �合、issue はクローズできません。
GitHub Connect で [Users can search GitHub.com](ユーザーが GitHub.com を検索できる) が有効になっている� �合、プライベートおよび内部リポジトリの issue は GitHub.com の検索結果に含まれません。
GitHub Packages npm レジストリが、メタデータ応答で時刻値を返さなくなります。これは、パフォーマンスの大幅な向上を見込んで行われました。メタデータ応答の一部として時刻値を返すために必要なすべてのデータを引き続き保持します。また、既存のパフォーマンスの問題を解決したら、将来的にはこの値を再び返す予定です。
pre-receive フックの処理に固有のリソース制限が、一部の pre-receive フックのエラーを引き起こす� �合があります。
[Force Path Style](パス スタイルの強制) がオンになっていると、GitHub Actions のストレージ設定を検証して [Management Console] に保存することができず、代わりに
ghe-actions-precheck
コマンド ライン ユーティリティで構成する必要があります。GitHub Enterprise Server 3.3 のインスタンスを Azure にインストールし、32 個以上の CPU コアでプロビジョニングすると、現在の Linux カーネルに存在するバグのため、起動しませんでした。 [更新日: 2022-04-08]
GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした� �合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでく� さい。 修正プログラ� は、3.5.5 および 3.6.1 パッチ リリースで入手できます。
3.4 を介したアップグレードを計画する� �合は、アップグレード アシスタントに関する記事を参照してく� さい。 [更新日: 2022-09-01]
Known issues
Enterprise Server 3.3.1
Download GitHub Enterprise Server 3.3.1December 13, 2021
📣 これは、このリリース シリーズの最新パッチ リリースではなく、これは Enterprise Server の最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグ修正に関しては、最新のリリースをお使いく� さい。
重大: Log4j ライブラリでのリモート コード実行の脆弱性 (CVE-2021-44228) により、3.3.1 より前の GitHub Enterprise Server のすべてのバージョンが影響を受けました。Log4j ライブラリは、GitHub Enterprise Server インスタンスで実行されるオープンソース サービスで使われます。この脆弱性は、GitHub Enterprise Server バージョン 3.0.22、3.1.14、3.2.6、3.3.1 で修正されました。 詳細については、GitHub ブログのこちらの投稿を参照してく� さい。
2021 年 12 月 17 の更新: このリリースで行われた修正により、このリリースの後で公開された CVE-2021-45046 も軽減されます。CVE-2021-44228 と CVE-2021-45046 の両方を軽減するため、GitHub Enterprise Server の追� のアップグレードは必要ありません。
Security fixes
GitHub Enterprise Server 3.3 にアップグレードした後、GitHub Actions が自動的に開始しないことがあります。この問題を解決するには、SSH を使ってアプライアンスに接続し、
ghe-actions-start
コマンドを実行します。GitHub Enterprise Server インスタンスをセットアップしたばかりでユーザーがいない� �合、攻撃者が最初の管理者ユーザーを作成できました。
カスタ� のファイアウォール規則は、アップグレード プロセス中に削除されます。
Web インターフェイスからアップロードされた Git LFS 追跡ファイルが誤ってリポジトリに直接追� されます。
issue に同じリポジトリ内の BLOB への固定リンクが含まれ、その BLOB のファイル パスが 255 文字を超える� �合、その issue をクローズできません。
GitHub Connect で [Users can search GitHub.com](ユーザーが GitHub.com を検索できる) が有効になっている� �合、プライベートと内部リポジトリの issue は GitHub.com の検索結果に含まれません。
GitHub Packages npm レジストリが、メタデータ応答で時刻値を返さなくなります。これは、パフォーマンスの大幅な向上を可能にするために行われました。メタデータ応答の一部として時刻値を返すために必要なすべてのデータを保持し続け、既存のパフォーマンスの問題を解決したら、将来的にこの値を返すことを再開します。
pre-receive フックの処理に固有のリソース制限により、一部の pre-receive フックが失敗する� �合があります。
[Force Path Style](パス スタイルの強制) がオンになっていると、GitHub Actions のストレージ設定を検証して [Management Console] に保存することができず、代わりに
ghe-actions-precheck
コマンド ライン ユーティリティで構成する必要があります。GitHub Enterprise Server 3.3 のインスタンスを Azure にインストールし、32 個以上の CPU コアでプロビジョニングすると、現在の Linux カーネルに存在するバグのため、起動しませんでした。 [更新日: 2022-04-08]
GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした� �合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでく� さい。 修正プログラ� は、3.5.5 および 3.6.1 パッチ リリースで入手できます。
3.4 を介したアップグレードを計画する� �合は、アップグレード アシスタントに関する記事を参照してく� さい。 [更新日: 2022-09-01]
Known issues
Enterprise Server 3.3.0
Download GitHub Enterprise Server 3.3.0December 07, 2021
📣 これは、このリリース シリーズの最新パッチ リリースではなく、これは Enterprise Server の最新リリースではありません。 最新のセキュリティ、パフォーマンス、バグ修正に関しては、最新のリリースをお使いく� さい。
For upgrade instructions, see "Upgrading GitHub Enterprise Server."
Note: We are aware of an issue where GitHub Actions may fail to start automatically following the upgrade to GitHub Enterprise Server 3.3. To resolve, connect to the appliance via SSH and run the ghe-actions-start
command.
Organization owners can now grant teams the access to manage security alerts and settings on their repositories. The "security manager" role can be applied to any team and grants the team's members the following access:
- Read access on all repositories in the organization.
- Write access on all security alerts in the organization.
- Access to the organization-level security tab.
- Write access on security settings at the organization level.
- Write access on security settings at the repository level.
The security manager role is available as a public beta and subject to change. For more information, see "Managing security managers in your organization." [Updated 2022-07-29]
GitHub Actions now supports ephemeral (single job) self-hosted runners and a new
workflow_job
webhook to make autoscaling runners easier.Ephemeral runners are good for self-managed environments where each job is required to run on a clean image. After a job is run, ephemeral runners are automatically unregistered from your GitHub Enterprise Server instance, allowing you to perform any post-job management.
You can combine ephemeral runners with the new
workflow_job
webhook to automatically scale self-hosted runners in response to GitHub Actions job requests.For more information, see "Autoscaling with self-hosted runners" and "Webhook events and payloads."
A dark high contrast theme, with greater contrast between foreground and background elements, is now available on GitHub Enterprise Server 3.3. This release also includes improvements to the color system across all GitHub themes.
For more information about changing your theme, see "Managing your theme settings."
Features
Security Manager role
Ephemeral self-hosted runners for GitHub Actions & new webhooks for auto-scaling
Dark high contrast theme
GitHub Enterprise Server 3.3 includes improvements to the maintenance of repositories, especially for repositories that contain many unreachable objects. Note that the first maintenance cycle after upgrading to GitHub Enterprise Server 3.3 may take longer than usual to complete.
GitHub Enterprise Server 3.3 includes the public beta of a repository cache for geographically-distributed teams and CI infrastructure. The repository cache keeps a read-only copy of your repositories available in additional geographies, which prevents clients from downloading duplicate Git content from your primary instance. For more information, see "About repository caching."
GitHub Enterprise Server 3.3 includes improvements to the user impersonation process. An impersonation session now requires a justification for the impersonation, actions are recorded in the audit log as being performed as an impersonated user, and the user who is impersonated will receive an email notification that they have been impersonated by an enterprise administrator. For more information, see "Impersonating a user."
A new stream processing service has been added to facilitate the growing set of events that are published to the audit log, including events associated with Git and GitHub Actions activity.
The GitHub Connect data connection record now includes a list of enabled GitHub Connect features. [Updated 2021-12-09]
An expiration date can now be set for new and existing personal access tokens. Setting an expiration date on personal access tokens is highly recommended to prevent older tokens from leaking and compromising security. Token owners will receive an email when it's time to renew a token that's about to expire. Tokens that have expired can be regenerated, giving users a duplicate token with the same properties as the original.
When using a personal access token with the GitHub API, a new
GitHub-Authentication-Token-Expiration
header is included in the response, which indicates the token's expiration date. For more information, see "Creating a personal access token."Notification emails from discussions now include
(Discussion #xx)
in the subject, so you can recognize and filter emails that reference discussions.Public repositories now have a
Public
label next to their names like private and internal repositories. This change makes it easier to identify public repositories and avoid accidentally committing private code.If you specify the exact name of a branch when using the branch selector menu, the result now appears at the top of the list of matching branches. Previously, exact branch name matches could appear at the bottom of the list.
When viewing a branch that has a corresponding open pull request, GitHub Enterprise Server now links directly to the pull request. Previously, there would be a prompt to contribute using branch comparison or to open a new pull request.
You can now click a button to copy the full raw contents of a file to the clipboard. Previously, you would need to open the raw file, select all, and then copy. To copy the contents of a file, navigate to the file and click in the toolbar. Note that this feature is currently only available in some browsers.
When creating a new release, you can now select or create the tag using a dropdown selector, rather than specifying the tag in a text field. For more information, see "Managing releases in a repository."
A warning is now displayed when viewing a file that contains bidirectional Unicode text. Bidirectional Unicode text can be interpreted or compiled differently than it appears in a user interface. For example, hidden bidirectional Unicode characters can be used to swap segments of text in a file. For more information about replacing these characters, see the GitHub changelog.
You can now use
CITATION.cff
files to let others know how you would like them to cite your work.CITATION.cff
files are plain text files with human- and machine-readable citation information. GitHub Enterprise Server parses this information into common citation formats such as APA and BibTeX. For more information, see "About CITATION files."You can use new keyboard shortcuts for quotes and lists in Markdown files, issues, pull requests, and comments.
- To add quotes, use cmd shift . on Mac, or ctrl shift . on Windows and Linux.
- To add an ordered list, use cmd shift 7 on Mac, or ctrl shift 7 on Windows and Linux.
- To add an unordered list, use cmd shift 8 on Mac, or ctrl shift 8 on Windows and Linux.
See "Keyboard shortcuts" for a full list of available shortcuts.
You can now use footnote syntax in any Markdown field. Footnotes are displayed as superscript links that you can click to jump to the referenced information, which is displayed in a new section at the bottom of the document. For more information about the syntax, see "Basic writing and formatting syntax."
When viewing Markdown files, you can now click in the toolbar to view the source of a Markdown file. Previously, you needed to use the blame view to link to specific line numbers in the source of a Markdown file.
You can now add images and videos to Markdown files in gists by pasting them into the Markdown body or selecting them from the dialog at the bottom of the Markdown file. For information about supported file types, see "Attaching files."
GitHub Enterprise Server now automatically generates a table of contents for Wikis, based on headings.
When dragging and dropping files into a Markdown editor, such as images and videos, GitHub Enterprise Server now uses the mouse pointer location instead of the cursor location when placing the file.
You can now search issues by label using a logical OR operator. To filter issues using logical OR, use the comma syntax. For example,
label:"good first issue","bug"
will list all issues with a label ofgood first issue
orbug
. For more information, see "Filtering and searching issues and pull requests."Improvements have been made to help teams manage code review assignments. You can now:
- Limit assignment to only direct members of the team.
- Continue with automatic assignment even if one or more members of the team are already requested.
- Keep a team assigned to review even if one or more members is newly assigned.
The timeline and reviewers sidebar on the pull request page now indicate if a review request was automatically assigned to one or more team members.
For more information, see the GitHub changelog.
You can now filter pull request searches to only include pull requests you are directly requested to review.
Filtered files in pull requests are now completely hidden from view, and are no longer shown as collapsed in the "Files Changed" tab. The "File Filter" menu has also been simplified. For more information, see "Filtering files in a pull request."
You can now create "composite actions" which combine multiple workflow steps into one action, and includes the ability to reference other actions. This makes it easier to reduce duplication in workflows. Previously, an action could only use scripts in its YAML definition. For more information, see "Creating a composite action."
Managing self-hosted runners at the enterprise level no longer requires using personal access tokens with the
admin:enterprise
scope. You can instead use the newmanage_runners:enterprise
scope to restrict the permissions on your tokens. Tokens with this scope can authenticate to many REST API endpoints to manage your enterprise's self-hosted runners.The audit log now includes additional events for GitHub Actions. Audit log entries are now recorded for the following events:
- A self-hosted runner is registered or removed.
- A self-hosted runner is added to a runner group, or removed from a runner group.
- A runner group is created or removed.
- A workflow run is created or completed.
- A workflow job is prepared. Importantly, this log includes the list of secrets that were provided to the runner.
For more information, see "Security hardening for GitHub Actions."
GitHub Enterprise Server 3.3 contains performance improvements for job concurrency with GitHub Actions. For more information about the new performance targets for a range of CPU and memory configurations, see "Getting started with GitHub Actions for GitHub Enterprise Server."
To mitigate insider man in the middle attacks when using actions resolved through GitHub Connect to GitHub.com from GitHub Enterprise Server, the actions namespace (
owner/name
) is retired on use. Retiring the namespace prevents that namespace from being created on your GitHub Enterprise Server instance, and ensures all workflows referencing the action will download it from GitHub.com.When a repository is deleted, any associated package files are now immediately deleted from your GitHub Packages external storage.
Dependency review is out of beta and is now generally available for GitHub Advanced Security customers. Dependency review provides an easy-to-understand view of dependency changes and their security impact in the "Files changed" tab of pull requests. It informs you of which dependencies were added, removed, or updated, along with vulnerability information. For more information, see "Reviewing dependency changes in a pull request."
Dependabot is now available as a private beta, offering both version updates and security updates for several popular ecosystems. Dependabot on GitHub Enterprise Server requires GitHub Actions and a pool of self-hosted runners configured for Dependabot use. Dependabot on GitHub Enterprise Server also requires GitHub Connect to be enabled. To learn more and sign up for the beta, contact the GitHub Sales team.
The depth of CodeQL's analysis has been improved by adding support for more libraries and frameworks and increasing the coverage of our existing library and framework models. JavaScript analysis now supports most common templating languages, and Java now covers more than three times the endpoints of previous CodeQL versions. As a result, CodeQL can now detect even more potential sources of untrusted user data, steps through which that data flows, and potentially dangerous sinks where the data could end up. This results in an overall improvement of the quality of code scanning alerts.
CodeQL now supports scanning standard language features in Java 16, such as records and pattern matching. CodeQL is able to analyze code written in Java version 7 through 16. For more information about supported languages and frameworks, see the CodeQL documentation.
Improvements have been made to the code scanning
on:push
trigger when code is pushed to a pull request. If anon:push
scan returns results that are associated with a pull request, code scanning will now show these alerts on the pull request.Some other CI/CD systems can be exclusively configured to trigger a pipeline when code is pushed to a branch, or even exclusively for every commit. Whenever such an analysis pipeline is triggered and results are uploaded to the SARIF API, code scanning will also try to match the analysis results to an open pull request. If an open pull request is found, the results will be published as described above. For more information, see the GitHub changelog.
You can now use the new pull request filter on the code scanning alerts page to find all the code scanning alerts associated with a pull request. A new "View all branch alerts" link on the pull request "Checks" tab allows you to directly view code scanning alerts with the specific pull request filter already applied. For more information, see the GitHub changelog.
User defined patterns for secret scanning is out of beta and is now generally available for GitHub Advanced Security customers. Also new in this release is the ability to edit custom patterns defined at the repository, organization, and enterprise levels. After editing and saving a pattern, secret scanning searches for matches both in a repository's entire Git history and in any new commits. Editing a pattern will close alerts previously associated with the pattern if they no longer match the updated version. Other improvements, such as dry-runs, are planned in future releases. For more information, see "Defining custom patterns for secret scanning."
Most REST API previews have graduated and are now an official part of the API. Preview headers are no longer required for most REST API endpoints, but will still function as expected if you specify a graduated preview in the
Accept
header of a request. For previews that still require specifying the preview in theAccept
header of a request, see "API previews."You can now use the REST API to configure custom autolinks to external resources. The REST API now provides beta
GET
/POST
/DELETE
endpoints which you can use to view, add, or delete custom autolinks associated with a repository. For more information, see "Autolinks."You can now use the REST API to sync a forked repository with its upstream repository. For more information, see "Branches" in the REST API documentation.
Enterprise administrators on GitHub Enterprise Server can now use the REST API to enable or disable Git LFS for a repository. For more information, see "Repositories."
You can now use the REST API to query the audit log for an enterprise. While audit log forwarding provides the ability to retain and analyze data with your own toolkit and determine patterns over time, the new endpoint can help you perform limited analysis on recent events. For more information, see "GitHub Enterprise administration" in the REST API documentation.
GitHub App user-to-server API requests can now read public resources using the REST API. This includes, for example, the ability to list a public repository's issues and pull requests, and to access a public repository's comments and content.
When creating or updating a repository, you can now configure whether forking is allowed using the REST and GraphQL APIs. Previously, APIs for creating and updating repositories didn't include the fields
allow_forking
(REST) orforkingAllowed
(GraphQL). For more information, see "Repositories" in the REST API documentation and "Repositories" in the GraphQL API documentation.A new GraphQL mutation
createCommitOnBranch
makes it easier to add, update, and delete files in a branch of a repository. Compared to the REST API, you do not need to manually create blobs and trees before creating the commit. This allows you to add, update, or delete multiple files in a single API call.Commits authored using the new API are automatically GPG signed and are marked as verified in the GitHub Enterprise Server UI. GitHub Apps can use the mutation to author commits directly or on behalf of users.
When a new tag is created, the push webhook payload now always includes a
head_commit
object that contains the data of the commit that the new tag points to. As a result, thehead_commit
object will always contain the commit data of the payload'safter
commit.Page loads and jobs are now significantly faster for repositories with many Git refs.
Changes
Administration Changes
Token Changes
Notifications changes
Repositories changes
Markdown changes
Issues and pull requests changes
GitHub Actions changes
GitHub Packages changes
Dependabot and Dependency graph changes
Code scanning and secret scanning changes
API and webhook changes
Performance Changes
After upgrading to GitHub Enterprise Server 3.3, GitHub Actions may fail to start automatically. To resolve this issue, connect to the appliance via SSH and run the
ghe-actions-start
command.On a freshly set up GitHub Enterprise Server instance without any users, an attacker could create the first admin user.
Custom firewall rules are removed during the upgrade process.
Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.
Issues cannot be closed if they contain a permalink to a blob in the same repository, where the blob's file path is longer than 255 characters.
When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.
The GitHub Packages npm registry no longer returns a time value in metadata responses. This was done to allow for substantial performance improvements. We continue to have all the data necessary to return a time value as part of the metadata response and will resume returning this value in the future once we have solved the existing performance issues.
Resource limits that are specific to processing pre-receive hooks may cause some pre-receive hooks to fail.
GitHub Actions storage settings cannot be validated and saved in the [Management Console] when "Force Path Style" is selected, and must instead be configured with the
ghe-actions-precheck
command line utility.GitHub Enterprise Server 3.3 instances installed on Azure and provisioned with 32+ CPU cores would fail to launch, due to a bug present in the current Linux kernel. [Updated: 2022-04-08]
GitHub Advanced Security をご利用のお客様が GitHub Enterprise Server 3.5 以降にアップグレードした� �合、Web UI と REST API でシークレット スキャンからのアラートが表示されなくなることがあります。 以前と同様にアラートが表示されるようにするには、以前のリリースから 3.5 以降にアップグレードするときに 3.4 をスキップしないでく� さい。 修正プログラ� は、3.5.5 および 3.6.1 パッチ リリースで入手できます。
3.4 を介したアップグレードを計画する� �合は、アップグレード アシスタントに関する記事を参照してく� さい。 [更新日: 2022-09-01]
Known issues
GitHub Enterprise Server 2.22 was discontinued on September 23, 2021. This means that no patch releases will be made, even for critical security issues, after this date. For better performance, improved security, and new features, upgrade to the newest version of GitHub Enterprise Server as soon as possible.
GitHub Enterprise Server 3.0 will be discontinued on February 16, 2022. This means that no patch releases will be made, even for critical security issues, after this date. For better performance, improved security, and new features, upgrade to the newest version of GitHub Enterprise Server as soon as possible.
Starting with GitHub Enterprise Server 3.3, GitHub Enterprise Server on XenServer is deprecated and is no longer supported. Please contact GitHub Support with questions or concerns.
To prevent accidental logging or exposure of
access_tokens
, we discourage the use of OAuth Application API endpoints and the use of API authentication using query parameters. View the following posts to see the proposed replacements:- Replacement OAuth Application API endpoints
- Replacement authentication using headers instead of query param
These endpoints and authentication route are planned to be removed from GitHub Enterprise Server in GitHub Enterprise Server 3.4.
The CodeQL runner is being deprecated. GitHub Enterprise Server 3.3 will be the final release series that supports the CodeQL runner. Starting with GitHub Enterprise Server 3.4, the CodeQL runner will be removed and no longer supported. The CodeQL CLI version 2.6.2 or greater is a feature-complete replacement for the CodeQL runner. For more information, see the GitHub changelog.
Starting in GitHub Enterprise Server 3.1, support for GitHub's proprietary bit-cache extensions began to be phased out. These extensions are now deprecated in GitHub Enterprise Server 3.3.
Any repositories that were already present and active on your GitHub Enterprise Server instance running version 3.1 or 3.2 will have been automatically updated.
Repositories which were not present and active before upgrading to GitHub Enterprise Server 3.3 may not perform optimally until a repository maintenance task is run and has successfully completed.
To start a repository maintenance task manually, browse to
https://<hostname>/stafftools/repositories/<owner>/<repository>/network
for each affected repository and click the Schedule button.GitHub Connect will no longer work after June 3rd for instances running GitHub Enterprise Server 3.1 or older, due to the format of GitHub authentication tokens changing. To continue using GitHub Connect, upgrade to GitHub Enterprise Server 3.2 or later. For more information, see the GitHub Blog. [Updated: 2022-06-14]
Deprecations
Deprecation of GitHub Enterprise Server 2.22
Deprecation of GitHub Enterprise Server 3.0
Deprecation of XenServer Hypervisor support
Deprecation of OAuth Application API endpoints and API authentication using query parameters
Deprecation of the CodeQL runner
Deprecation of custom bit-cache extensions
Change to the format of authentication tokens affects GitHub Connect
GitHub Enterprise Server 3.3 requires at least GitHub Enterprise Backup Utilities 3.3.0 for Backups and Disaster Recovery.