Enterprise Server 3.1 release notes

HIGH: A path traversal vulnerability was identified in GitHub Enterprise Server that could be exploited when building a GitHub Pages site. User-controlled configuration options used by GitHub Pages were not sufficiently restricted and made it possible to read files on the GitHub Enterprise Server instance. To exploit this vulnerability, an attacker would need permission to create and build a GitHub Pages site on the GitHub Enterprise Server instance. This vulnerability affected all versions of GitHub Enterprise Server prior to 3.1.8 and was fixed in 3.1.8, 3.0.16, and 2.22.22. This is the result of an incomplete fix for CVE-2021-22867. This vulnerability was reported via the GitHub Bug Bounty program and has been assigned CVE-2021-22868.

MEDIUM: An improper access control vulnerability in GitHub Enterprise Server allowed a workflow job to execute in a self-hosted runner group it should not have had access to. This affects customers using self-hosted runner groups for access control. A repository with access to one enterprise runner group could access all of the enterprise runner groups within the organization because of improper authentication checks during the request. This could cause code to be run unintentionally by the incorrect runner group. This vulnerability affected GitHub Enterprise Server versions from 3.0.0 to 3.0.15 and 3.1.0 to 3.1.7 and was fixed in 3.0.16 and 3.1.8 releases. It has been assigned CVE-2021-22869.

Resque worker counts were displayed incorrectly during maintenance mode.

Allocated memcached memory could be zero in clustering mode.

Non-empty binary files displayed an incorrect file type and size on the pull request "Files" tab.

Fixes GitHub Pages builds so they take into account the NO_PROXY setting of the appliance. This is relevant to appliances configured with an HTTP proxy only. (update 2021-09-30)

パッケージは最新のセキュリティバージョンにアップデートされました。

Attempting to tear down a newly-added replica node by specifying its UUID with ghe-repl-teardown would fail without reporting an error if replication was not started.

GitHub Pages builds were being passed through an external proxy if there was one configured.

Custom pre-receive hooks that created sub-processes would lack a PATH variable in their environment, resulting in "No such file or directory" errors.

MySQL could failover during an upgrade if mysql-auto-failover was enabled.

パッケージは最新のセキュリティバージョンにアップデートされました。

Attaching very large images or animated GIFs to images or pull requests would fail.

Journald messages related to automatic updates (Adding h/m/s random time.) were logged to syslog.

Custom pre-receive hooks that created named pipes (FIFOs) would crash or hang, resulting in a timeout error.

Adding filters to the audit log advanced search page did not populate the query text box in real-time with the correct facet prefix and value.

Git hooks to the internal API that result in failing requests returned the exception undefined method body for "success":String (NoMethodError) instead of returning an explicit nil.

When an integration was removed, it was possible for an unrelated OAuth application or integration to also be removed.

When a mandatory message containing an emoji character was added, attempting to view or change the message would return a 500 Internal Server Error.

Adds triage and maintain to the list of permissions returned by the REST API.

Custom pre-receive hooks that used a bash subshell would return an error: No such file or directory.

When GitHub Actions is enabled without running regular scheduled backups the MSSQL Transaction Log could grow unbounded and can consume all available space on the appliance's Data Disk causing a possible outage.

Unnecessary database logging consumed a large amount of disk space on instances with heavy LFS usage.

Audit log entries for changes made to "Repository creation" organization settings were inaccurate.

Excessive logging of ActionController::UnknownFormat exceptions caused unnecessary disk usage.

LDAP group_dn values longer than 255 characters would result in errors being logged: Data truncated for column 'group_dn' at row 1.

Abuse rate limits are now called Secondary rate limits, since the behavior they limit is not always abusive.

パッケージは最新のセキュリティバージョンにアップデートされました。

The counts on packages pages were not being incremented when a package was downloaded.

ghe-config-apply would timeout, ask for a prompt or fail for a customer that had secret scanning enabled, and had either disabled or never enabled GitHub Actions on their instance.

Log files were not reopened after rotation in some cases leading to high disk space usage on instances with high uptime.

Upgrade could fail from older version of GitHub Enterprise Server due to a missing job in GitHub Actions.

Custom pre-receive hooks could lead to an error like error: object directory /data/user/repositories/0/nw/12/34/56/7890/network.git/objects does not exist; check .git/objects/info/alternates.

Unauthenticated HTTP proxy for the pages containers build was not supported for any users that use HTTP proxies.

A significant number of 503 errors were logged every time a user visited a repository's /settings page if the dependency graph was not enabled.

Internal repositories were only returned when a user had affiliations with the repository through a team or through collaborator status, or queried with the ?type=internal parameter.

Failed background jobs had unlimited retries which could cause large queue depths.

A significant number of 503 errors were being created if the scheduled job to sync vulnerabilities with GitHub.com attempted to run when dependency graph was not enabled and content analysis was enabled.

When GitHub Actions is enabled without running regular scheduled backups, the MSSQL transaction log could grow unbounded and can consume all available space on the appliance's data disk, causing a possible outage.

If you have configured regularly scheduled MSSQL backups, no further actions is required. Otherwise, if you have GitHub Actions previously enabled, run the following commands after installing this patch.

ghe-actions-console -s Mps -c 'Update-Service -Force'
ghe-actions-console -s Token -c 'Update-Service -Force'
ghe-actions-console -s Actions -c 'Update-Service -Force'

The logs for babeld now include a cmd field for HTTP ref advertisement requests instead of only including it during the negotiation requests.

HIGH: A path traversal vulnerability was identified in GitHub Enterprise Server that could be exploited when building a GitHub Pages site. User-controlled configuration options used by GitHub Pages were not sufficiently restricted and made it possible to read files on the GitHub Enterprise Server instance. To exploit this vulnerability, an attacker would need permission to create and build a GitHub Pages site on the GitHub Enterprise Server instance. This vulnerability affected all versions of GitHub Enterprise Server prior to 3.1.3 and has been assigned CVE-2021-22867. This vulnerability was reported via the GitHub Bug Bounty program.

パッケージは最新のセキュリティバージョンにアップデートされました。

SAML expiration date variable was not configurable.

Application services would fail their health checks during config apply before they could enter a healthy state.

ghe-cluster-config-node-init would fail during cluster setup if HTTP proxy is enabled.

Pre-receive hooks could encounter an error Failed to resolve full path of the current executable due to /proc not being mounted on the container.

Collectd would not resolve the forwarding destination hostname after the initial startup.

The job that purged stale deleted repositories could fail to make progress if some of those repositories were protected from deletion by legal holds.

Background jobs were being queued to the spam queue which were not being processed.

The preferred merge method would be reset when retrying after a failed PR merge.

Git pushes could result in a 500 Internal Server Error during the user reconciliation process on instances using LDAP authentication mode.

After upgrading from 3.0.x to 3.1.x, in some cases GitHub Actions would fail with an error: An unexpected error occurred when executing this workflow.

Improved the efficiency of config apply by skipping IP allow firewall rules that had not changed, which saved significant time on large clusters.

パッケージは最新のセキュリティバージョンにアップデートされました。

多数のgauge-dependency-graph-api-dispatch_dispatchメトリクスがManagement Consoleに蓄積されることがあります。

Google Cloud Plafform上で動作するインスタンスにおいて、sshdサービスが起動に失敗することがあります。

古いアップグレードファイルがユーザディスクに残り、空き領域がなくなる状況になることがあります。

gh-migratorがログの出力に誤ったパスを出力しました。

アーカイブに存在しないTeamからのレビューリクエストが含まれている場合、エクスポートされたアーカイブのPull Requestのインポートが通知なく失敗します。

GHES 3.1のGitHub Actionsランナーバージョンを[v2.278.0]に更新(https://github.com/actions/runner/releases/tag/v2.278.0)

パッケージは最新のセキュリティバージョンにアップデートされました。

SVN 1.7及びそれよりも古いクライアントが、svn co及びsvn exportコマンドを使った場合にエラーを表示しました。

管理シェルを通じてghe-repo <owner>/<reponame>を使ってリポジトリにアクセスすると、ハングします。

アップグレード後、サービスが過剰に頻繁に再起動するために、高負荷の際にユーザからみて可用性が低下しました。これは、nomadの設定と内部サービスの設定間のタイムアウトのミスマッチによって生じます。

インスタンスによっては、GitHub Actionsをセットアップした後にghe-repl-statusを実行するとエラーが生じ、ghe-actions-teardownが失敗します。

状況によっては、ghe-dbconsoleがエラーを返します。

GitHub以外のソースからのOrganizationあるいはリポジトリのインポートの失敗が、undefined method '[]' for nil:NilClassエラーを生じさせることがあります。

SAML認証を使っていて、GitHubのプロフィール名が管理コンソールのFull nameフィールドにマップされる属性の値とマッチしない場合、GitHubのプロフィール名が意図せず変更されてしまうことがあります。

以前に2.13リリースを実行していたインスタンスをアップグレードすると、AddRepositoryIdToCheckRunsデータ移行に関係するデータベースの移行エラーが生じました。

GraphQL APIのユーザが、PullRequestオブジェクトの公開フィールドのclosingIssuesReferencesに対するクエリを行えます。このフィールドは、関連するPull Requestがマージされたときに自動的にクローズされるIssueを取得します。このアプローチは、より忠実度の高い移行プロセスの一部として、このデータが将来移行されることも可能にします。

Secret Scanningは、GitHub Enterprise Server 3.1+で一般的に利用可能になりました。コミットされた認証情報をパブリック及びプライベートリポジトリでスキャンし、シークレットを見つけ、それらがリポジトリにコミットされた時点でシークレットのプロバイダもしくは管理者に通知します。

このリリースには、GitHub Enterprise Server上のSecret Scanningのベータからのいくつかの改善が含まれています。

• パターンのカバレッジを24パターンから37へ拡大
• APIとwebhooksの追加
• シークレットをコミットした際のコミット作者への通知の追加
• 大量のシークレットのトリアージを容易にするインデックスビューの更新
• 多くのパターンでの偽陽性率の低下

GitHub Advanced Securityを使用する管理者は、GitHub Advanced SecurityのSecret Scanningを有効化して設定できます。GitHub Advanced SecurityのSecret Scanningを有効化する前に、更新されたプラットフォームの最小要件をレビューできます。

このリリースには、GitHub Enterprise Serverに置けるGitHub Advanced Securityの支払いに対するいくつかの改善が含まれています:

• GitHub Advanced Securityのお客様は、OrganizationもしくはEnterpriseアカウントの支払いページでアクティブなコミッター数や未使用のコミッターシートの残数を見ることができるようになりました。EnterpriseでAdvanced Securityが購入されていると、管理者はEnterprise内で他のOrganizationによって使われているアクティブなコミッターシートを見ることもできます。詳しい情報については「GitHub Acvenced Securityのライセンスについて」及び「GitHub Advanced Securityの利用状況の表示」を参照してください。
• GitHub Advanced Securityのお客様は、OrganizationもしくはEnterpriseアカウントの支払いページでAdvanced Securityが有効化されている任意のリポジトリのアクティブなコミッター数を見ることができるようになりました。これらの変更は、支払いの管理者による購入したコミッターライセンス数の使用状況の対性を支援します。詳しい情報については「Organizationのセキュリティ及び分析設定の管理」を参照してください。

このリリースには、GitHub Enterprise ServerのDependabotアラートの改善が含まれています。

• Dependabotアラートを有効化しているユーザは、 GitHub Advisory Databaseのエントリにアクセスして、ある脆弱性によって自分たちのどのリポジトリが影響されるかを見ることができます。この機能はパブリックベータとして利用できます。詳しい情報については「リポジトリ中の脆弱な依存関係の表示と更新」を参照してください。
• GitHub Advisory Databaseに脆弱性が追加されると、重要度が低及び中の脆弱性に関するDependabotアラートについてのメール及びWeb通知は受け取らなくなります。これらのアラートは、リポジトリのセキュリティタブから引き続きアクセスできます。詳しい情報については「リポジトリ中の脆弱な依存関係の表示と更新」を参照してください。
• リポジトリのroot、docsあるいは.githubフォルダにSECURITY.mdを追加することによって、プロジェクト中のセキュリティ脆弱性を責任を持ってレポートする方法に関する指示を人に出せるようになりました。誰かがリポジトリでIssueを作成すると、プロジェクトのセキュリティポリシーへのリンクが示されます。詳しい情報については「リポジトリへのセキュリティポリシーの追加」を参照してください。

GitHub Actionsは、実行ごとにワークフローの視覚的なグラフを生成するようになりました。ワークフローの可視化によって、以下ができるようになります。

• 複雑なワークフローの表示と理解
• リアルタイムでのワークフローの進捗の追跡
• ログとジョブのメタデータに容易にアクセスすることによって、素早く実行のトラブルシューティングを行う
• デプロイメントジョブの進捗のモニタと、デプロイメントのターゲットへの容易なアクセス

詳しい情報については「可視化グラフの利用」」を参照してください。

OAuth 2.0 デバイス認証の付与によって、任意のCLIクライアントもしくは開発者ツールが、ブラウザで二次的なシステムを使って認証を受けることができます。

OAuth Apps及びGitHub Appsを使う管理者は、既存のWebアプリケーションフローに加えてOAuth 2.0デバイス認証フローを有効化して設定できます。OAuth 2.0デバイス認証フローを有効化する前に、更新されたプラットフォームの最小要件をレビューできます。

自動マージでは、すべてのマージ要件が満たされたらPull Requestが自動的にマージされるように設定できます。こうすることで、ユーザはマージするためだけにPull Requestの状態を常にチェックする必要がなくなります。自動マージは、マージする権限を持つユーザによって、マージ要件を満たしていないPull Requestで有効化できます。詳しい情報については「Pull Requestを自動的にマージ」を参照してください。

個々のリポジトリから受信したい通知の種類をカスタマイズできます。詳しい情報については「通知の設定」を参照してください。

GitHub for mobile(https://github.com/mobile) のフィルタリングを利用すると、ご自分のデバイスからIssue、Pull Request、ディスカッションを検索して見つけることができます。IssueやPull Requestのリストアイテムの新しいメタデータによって、アサインされた人、チェックのステータス、レビューのステータス、コメント数によってフィルタリングできます。

GitHub for mobileベータは、GitHub Enterprise Serverで利用できます。Android及びiOSアプリケーションにサインインして、外出先で通知をトリアージし、IssueやPull Requestを管理してください。管理者は、管理コンソールから、あるいはghe-config app.mobile.enabled falseと実行することによって、Enterpriseでのモバイルサポートを無効化できます。詳しい情報については「GitHub for mobile」を参照してください。

チェックサムを事前に計算しておくことによって、リポジトリがロックされている時間が大幅に短くなり、より多くの書き込み操作が即座に成功し、単一リポジトリのパフォーマンスが改善されました。

CodeQL CLIの最新リリースは、分析結果のGitHubへのアップロードをサポートします。これによって、GitHub Actions以外のCI/CDシステムを使いたいお客様がコード分析を実行しやすくなります。以前は、そういったユーザは別個のCodeQL Runnerを使わなければなりませんでした。CodeQL Runnerは引き続き利用できます。詳しい情報については「CIシステムでのCode QL Code Scanningについて」を参照してください。

GitHub Actionsは、コミットメッセージ中の一般的なキーワードを探すことによるpush及びpull_requestワークフローのスキップをサポートするようになりました。

4ヶ月以上経過したチェックアノテーションはアーカイブされます。

フィードバックに従って、Pull RequestのIDをサブミットすることなくPull Request上にCode Scanningの結果を表示することは、サポートされ続けることになります。詳しい情報については「Code Scanningの設定」及び「[CIシステムでのCode QL Code Scanningの設定] (/enterprise-server@3.1/code-security/secure-coding/configuring-codeql-code-scanning-in-your-ci-system#scanning-pull-requests)」を参照してください。

SARIFアップロードのサポートは、アップロードごとに最大5000件の結果に増加しました。

GitHub Appを設定する際には、複数のコールバックURLを指定できます。これは、複数のドメインもしくはサブドメインを持つサービスで利用できます。GitHubは、リクエストからのコールバックURLが認可コールバックURLリスト中にない場合には、常に認可を拒否します。

GitHub Appのファイル権限は、アプリケーションがアクセスをリクエストできる最大で10のファイルに読み取りのみもしくは読み書きのアクセスをアプリケーション開発者が指定できるよう、更新されました。

CodeQLは、様々な言語(C++、JavaScript、Python、Java、Go)のライブラリやフレームワークをサポートするようになりました。CodeQLエンジンは、信頼できないユーザデータの多くのソースを検出できるようになり、それによってCode Scanningアラートの質と深さが改善されました。詳しい情報については「CodeQLについて」を参照してください。

GitHub Appを設定する際、認可コールバックURLは必須のフィールドです。開発者は、複数のコールバックURLを指定できるようになりました。これは、複数のドメインもしくはサブドメインを持つサービスで利用できます。GitHubは、リクエストからのコールバックURLが認可コールバックURLリスト中にない場合には、常に認可を拒否します。

Webブラウザから、サブディレクトリを含むファイルのディレクトリ全体を削除します。詳しい情報については「ファイルもしくはディレクトリの削除」を参照してください。

Issue、ディスカッション、Pull Requestコメントで#の後に複数の語を含めて、検索をさらに絞り込めるようにしてください。

Issue、Pull Request、ディスカッションコメントを書いているときに、箇条書き、番号、タスクのためのリスト構文は、returnあるいはenterを押した後に自動補完を行います。

Code Scanning APIを利用すると、ユーザは静的分析のセキュリティテストの結果に関するデータをアップロードしたり、アラートに関するデータをエクスポートしたりできます。詳しい情報についてはCode Scanning APIリファレンスを参照してください。

インストールを管理するためのGitHub Apps APIはAPIプレビューを卒業し、一般に利用可能なAPIになりました。これらのエンドポイントにアクセスするのに、プレビューヘッダは不要になりました。

中 特定の環境下で、TeamあるいはOrganizationから削除されたユーザは、オープンな既存のPull Requestを持つブランチへの書き込みアクセス権を持ったままになることがあります。

パッケージは最新のセキュリティバージョンにアップデートされました。

リリース候補1のすべての既知の問題は、以下の既知の問題のセクションにリストされているもの以外、すべて修正されました。

初期のインストールプロセスの"Configure Actions and Packages"ページで、"Test domain settings"ボタンをクリックしてもテストが完了しませんでした。

ghe-btopの実行がエラーに成り、'babeld'コンテナを見つけられませんでした。

自動フェイルオーバーの設定を変更すると、MySQLがリロードされ、ダウンタイムが生じることがあります。

アップグレード後に、内部及び外部のタイムアウト値のミスマッチによって、サービスが利用できなくなりました。

MSSQLにおいて、予想されるレプリケーションの遅延で警告が生じました。

管理コンソール上の「クラスタリングの設定」へのリンクが正しくありませんでした。

pre-receiveフックを作成あるいは編集する際に、ユーザインターフェースのレース条件によって、リポジトリを選択した後、そのリポジトリ内のファイルがファイルのドロップダウンに展開されないことがありました。

"Create Whitelist Entry"ボタンを使ってホワイトリストにIPアドレスをついかしても、引き続きロックアウトされたままとして表示されることがあります。

「依存関係グラフ」及び「Dependabotアラート」機能への参照が、いくつかのリポジトリで無効化されたとして表示されませんでした。

Enterpriseアカウントの設定でアナウンスを設定すると、500 Internal Server Errorが生じることがありました。

/hooksエンドポイントへのHTTP POSTリクエストが、hookIDが正しく設定されていないため、401レスポンスで失敗することがあります。

build-serverがプロセスのクリーンアップに失敗し、それらのプロセスがdefunct状態で残ったままになりました。

spokesdが"fixing placement skipped"というフレーズを含む過剰なログのエントリを生成しました。

インスタンスが設定されているホスト名への自己リクエストを発行できない場合、Actionsのアップブレードが失敗することがありました。

2.22.xから3.1.0.rc1にアップグレードすると、BackfillIntegrationApplicationCallbackUrlsTransitionデータ転送に関係するデータベースの移行エラーが生じることがあります。

ghe-repo <owner>/<reponame>を使って管理シェルを通じてリポジトリにアクセスすると、ハングします。回避策として、次のバージョンで修正が提供されるまでghe-repo <owner>/<reponame> -c "bash -i"を使ってください。

GitHub Packagesのnpmレジストリは、メタデータのレスポンス中で時間の値を返さなくなります。これは、大きなパフォーマンス改善のために行われました。メタデータレスポンスの一部として時間の値を返すために必要なすべてのデータは保持し続け、既存のパフォーマンスの問題を解決した将来に、この値を返すことを再開します。

新しくセットアップされたユーザを持たないGitHub Enterprise Serverで、攻撃者が最初の管理ユーザを作成できました。

カスタムのファイアウォールのルールは、アップグレードの際に維持されません。

Git LFSが追跡するファイルWebインターフェースからアップロードされたものが、不正にリポジトリに直接追加されてしまいます。

同じリポジトリ内のファイルパスが255文字を超えるblobへのパーマリンクを含むIssueをクローズできませんでした。

GitHub Connectで"Users can search GitHub.com"が有効化されている場合、GitHub.comの検索結果にプライベート及びインターナルリポジトリのIssueが含まれません。

以前は2.14リリースではなく2.13リリースを実行していたインスタンスをアップグレードすると、AddRepositoryIdToCheckRunsデータ転送に関係するデータベースの移行エラーが生じます。

3.0.xから3.1.xにアップグレードすると、GitHub ActionsがAn unexpected error occurred when executing this workflowというエラーで失敗する場合があります。この問題を回避するには、管理シェル（ssh）を接続して以下を実行してください。

ghe-actions-console -s actions -c "Queue-ServiceJob -JobId 4DB1F4CF-19FD-40E0-A253-91288813DE8B"

High Availability構成でレプリカノードがオフラインの場合でも、GitHub Enterprise ServerがGitHub Pagesリクエストをオフラインのノードにルーティングし続ける場合があり、それによってユーザにとってのGitHub Pagesの可用性が下がってしまいます。

Resource limits that are specific to processing pre-receive hooks may cause some pre-receive hooks to fail.

GitHub Enterprise Server 2.20は、2021 年3月2日に廃止となりました。これは、この日以降は重大なセキュリティの問題に対してであってもパッチリリースが行われなくなるということです。より優れたパフォーマンス、改善されたセキュリティ、新しい機能のために、GitHub Enterprise Serverの最新バージョンへのアップグレードをできるだけ早く行ってください。

GitHub Enterprise Server 2.21は、2021 年6月9日に廃止となりました。これは、この日以降は重大なセキュリティの問題に対してであってもパッチリリースが行われなくなるということです。より優れたパフォーマンス、改善されたセキュリティ、新しい機能のために、GitHub Enterprise Serverの最新バージョンへのアップグレードをできるだけ早く行ってください。

GitHub Enterprise Server 2.21.0から、2つの旧来のGitHub Appsに関連するwebhookイベントが非推奨となり、GitHub Enterprise Server 3.2.0で削除されます。非推奨となったイベントのintegration_installationとintegration_installation_repositoriesには、サポートされることになる同等のイベントがあります。詳細な情報は非推奨化のアナウンスのblogポストにあります。

GitHub Enterprise Server 2.21.0から、インストールアクセストークンを作成するための旧来のGitHub Appsのエンドポイントが非推奨となり、GitHub Enterprise Server 3.2.0で削除されます。詳細な情報は非推奨化のアナウンスのblogポストにあります。

GitHubは、パスパラメータとしてaccess_tokenを含むOAuthのアプリケーションエンドポイントをサポートしなくなりました。access_tokenをリクエストのボディに移すことにより、OAuth Appsのためのトークンをセキュアに管理できるようにする、新しいエンドポイントが導入されます。非推奨にはなりましたが、これらのエンドポイントはこのバージョンではまだ利用可能です。これらのエンドポイントは、GitHub Enterprise Server 3.4で削除しようとしています。詳細については非推奨化のアナウンスのblogポストを参照してください。

GitHub Actionsは、短縮バージョンのgitコミットSHAを使ったアクションの参照サポートを削除します。これによって、リポジトリ内のワークフローで動作しなくなるものがあるかもしれません。それらのワークフローを修正するには、アクションの参照を完全なコミットSHAを使うように更新しなければなりません。詳しい情報については「GitHub Actionsのセキュリティ強化」を参照してください。

GitHub Enterprise Server 3.1から、Xen Hypervisorのサポートを停止します。完全な非推奨化はGitHub Enterprise Server 3.3でスケジュールされており、標準の1年の非推奨化ウィンドウに従います。