ASA-2019-00667 – Git: Git não se recusa a gravar arquivos rastreados com barras invertidas em nomes de arquivos

Os nomes de arquivos no Linux/Unix podem conter barras invertidas. No Windows, barras invertidas são separadores de diretório. Git não costumava se recusar a escreva arquivos rastreados com esses nomes de arquivos.

ASA-2019-00664 – Git: Git confunde alguns caminhos com caminhos relativos, permitindo escrever fora da árvore de trabalho durante a clonagem

Embora as únicas letras de unidade permitidas para unidades físicas no Windows sejam as letras do alfabeto inglês-americano, essa restrição não se aplica a unidades virtuais atribuídas por subst :. O Git confundiu esses caminhos com caminhos relativos, permitindo gravar fora da árvore de trabalho durante a clonagem.

ASA-2019-00223 – GitLab: Exposição do token de registro do Group Runner

A API dos grupos do GitLab era vulnerável a um problema de divulgação de informações que revelava tokens de registro de corredor de grupo para usuários não autorizados. O problema agora é mitigado na última versão e é atribuído a CVE-2019-11000.

ASA-2019-00222 – GitLab: Dados de geolocalização EXIF não retirados das imagens enviadas

As imagens enviadas para o GitLab não foram removidas dos dados de geolocalização EXIF. Como resultado, qualquer pessoa com acesso à imagem enviada poderá obter os dados da sua geolocalização, dispositivo e versão do software, se houver.

ASA-2019-00221 – GitLab: Referência direta a objeto inseguro (IDOR) em rótulos de projetos/grupos privados

Foi descoberto um problema de autorização que permitia que não membros de um projeto/grupo privado adicionassem e lessem rótulos.