Выпущены внеплановые корректирующие обновления платформы для организации совместной разработки GitLab 8.7.1, 8.6.8, 8.5.12, 8.4.10, 8.3.9 и 8.2.5, в которых устранена критическая уязвимость (CVE-2016-4340), позволяющая поднять свои привилегии в системе. Проблема присутствует в режиме «impersonate», появившемся в GitLab 8.2, и позволяет любому аутентифицированному пользователю войти в систему под другим пользователем, в том числе под администратором.

В качестве обходных способов для блокирования уязвимости можно добавить в настройки /etc/gitlab/gitlab.rb строку

nginx['custom_gitlab_server_config'] = "location ^~ /admin/users/stop_impersonation { deny all; }n"

и перезапустить GitLab («sudo gitlab-ctl reconfigure») или заблокировать доступ к обработчику /admin/users/stop_impersonation на уровне http-сервера:

Nginx:
   location ^~ /admin/users/stop_impersonation { deny all; }

Apache:
    ‹LocationMatch "^/admin/users/stop_impersonation"›
     Order Deny,Allow
     Deny from all
    ‹/LocationMatch›

HAProxy:
   acl is_stop_impersonation  path_beg         /admin/users/stop_impersonation
   acl is_delete method DELETE
   http-request deny if is_delete is_stop_impersonation

Кроме того, в новых выпусках устранено ещё несколько уязвимостей: повышение привилегий через notes API (можно добавить произвольное примечание к любому запросу на изменение или сообщению), повышение привилегий через webhook API (можно читать и удалять webhooks приватных проектов), четыре XSS-уязвимости (межсайтовый скриптинг) и четыре утечки закрытой информации.