Enterprise Server 3.3 release notes

HIGH: Updated Git to include fixes from 2.39.1, which address CVE-2022-41903 and CVE-2022-23521.

Sanitize additional secrets in support bundles and the configuration log.

Packages have been updated to the latest security versions.

The metrics Active workers and Queued requests for github (renamed from metadata), gitauth, and unicorn container services werent correctly read from collectd and displayed in the Management Console.

The performance of configuration runs started with ghe-config-apply has been improved.

When upgrading an instance with a new root partition, running the ghe-upgrade command with the -t/--target option ensures the preflight check for the minimum disk storage size is executed against the target partition.

When exporting account data, backing up a repository, or performing a migration, the link to a repository archive now expires after 1 hour. Previously the archive link expired after 5 minutes.

HIGH: A path traversal vulnerability was identified in GitHub Enterprise Server that allowed remote code execution when building a GitHub Pages site. To exploit this vulnerability, an attacker would need permission to create and build a GitHub Pages site on the instance. This vulnerability was reported via the GitHub Bug Bounty Program and has been assigned CVE-2022-46256.

HIGH: An incorrect authorization vulnerability allowed a scoped user-to-server token to escalate to full admin access for a repository. An attacker would require an account with admin access to install a malicious GitHub App. This vulnerability affected all versions of GitHub Enterprise Server prior to 3.7.0. This vulnerability was reported via the GitHub Bug Bounty program and has been assigned CVE-2022-23741.

Installation of GitHub Enterprise Server on the VMware ESXi hypervisor failed due to the generation of an OVA file with an invalid capacity value.

When users performed an operation using the API, GitHub Enterprise Server enforced repository size quotas even when disabled globally.

A debug-level message appeared in a system log, which could consume space rapidly on the instance's root storage volume.

On instances where the dependency graph is enabled, upgrades could sometimes fail due to a slow-running migration of dependency graph data.

MEDIUM: Updated CommonMarker to address a scenario where parallel requests to the Markdown REST API could result in unbounded resource exhaustion. This vulnerability has been assigned CVE-2022-39209.

MEDIUM: Scoped user-to-server tokens from GitHub Apps could bypass authorization checks in GraphQL API requests when accessing non-repository resources. This vulnerability was reported via the GitHub Bug Bounty Program.

MEDIUM: Pull request preview links did not properly sanitize URLs, allowing a malicious user to embed dangerous links in the instances web UI. This vulnerability was reported via the GitHub Bug Bounty program.

MEDIUM: An incorrect authorization vulnerability was identified in GitHub Enterprise Server that allowed a repository-scoped token with read/write access to modify GitHub Actions workflow files without a workflow scope. The "Create or Update file contents API" should enforce workflow scope. This vulnerability was reported via the GitHub Bug Bounty program and has been assigned CVE-2022-46258.

Setting the maintenance mode with an IP Exception List would not persist across upgrades.

After configuration of Dependabot and alert digest emails, the instance would send digest emails to suspended users.

If a user configured a pre-receive hook for multiple repositories, the instances Hooks page would not always display the correct status for the hook.

Zombie processes no longer accumulate in the gitrpcd container.

HIGH: Updated dependencies for the Management Console to the latest patch versions, which addresses security vulnerabilities including CVE-2022-30123 and CVE-2022-29181.

HIGH: Added checks to address an improper cache key vulnerability that allowed an unauthorized actor to access private repository files through a public repository. This vulnerability has been assigned CVE-2022-23738.

MEDIUM: Updated CommonMarker to address a scenario where parallel requests to the Markdown REST API could result in unbounded resource exhaustion. This vulnerability has been assigned CVE-2022-39209.

MEDIUM: Updated GitHub Actions runners to fix a bug that allowed environment variables in GitHub Actions jobs to escape the context of the variable and modify the invocation of docker commands directly. For more information, see the Actions Runner security advisory.

MEDIUM: Updated Redis to 5.0.14 to address CVE-2021-32672 and CVE-2021-32762.

MEDIUM: An improper privilege management vulnerability was identified in GitHub Enterprise Server that allowed users with improper privileges to create or delete pages via the API. To exploit this vulnerability, an attacker would need to be added to an organization's repo with write permissions. This vulnerability was reported via the GitHub Bug Bounty program and has been assigned CVE-2022-23737.

LOW: Due to a CSRF vulnerability, a GET request to the instance's site/toggle_site_admin_and_employee_status endpoint could toggle a user's site administrator status unknowingly.

Packages have been updated to the latest security versions.

After a site administrator made a change that triggered a configuration run, such as disabling GitHub Actions, validation of services would sometimes fail with the message WARNING: Validation encountered a problem.

After a site administrator installed a hotpatch containing changes to web interface assets such as JavaScript files or images, the instance did not serve the new assets.

Deleted assets and assets scheduled to be purged within a repository, such as LFS files, took too long to to be cleaned up.

If a user installed a GitHub App for the user account and then converted the account into an organization, the app was not granted organization permissions.

To ensure that site administrators can successfully complete an upgrade, the instance will now execute a preflight check to ensure that the virtual machine meets minimum hardware requirements. The check also verifies Elasticsearch's health. You can review the current requirements for CPU, memory, and storage for GitHub Enterprise Server in the "Minimum requirements" section within each article in "Setting up a GitHub Enterprise Server instance."

HIGH: A GitHub App could use a scoped user-to-server token to bypass user authorization logic and escalate privileges.

MEDIUM: The use of a Unicode right-to-left override character in the list of accessible files for a GitHub App could obscure additional files that the app could access.

Packages have been updated to the latest security versions.

Installation of a TLS certificate failed when the certificate's subject string included UTF-8 characters.

Configuration runs could fail when retry-limit or retry-sleep-duration were manually set by an administrator using ghe-config.

In some cases, the Management Console's monitor dashboard would not load correctly.

Removed a non-functional link for exporting Management Console monitor graphs as a PNG image.

When sending a support bundle to GitHub Enterprise Support using ghe-support-upload, the -t option would not successfully associate the uploaded bundle with the specified ticket.

A link back to the security settings for the instance's enterprise account could render an incorrect view.

Git clones or fetches over SSH could experience data corruption for transfers over 1GB in size.

After a user deleted or restored packages from the web interface, counts for packages could render incorrectly.

After successful configuration of Dependabot and alert digest emails, the instance would not send digest emails.

Manually disabled GitHub Actions workflows in a repository were re-enabled if the repository received a push containing more than 2048 commits, or if the repository's default branch changed.

When using a VPC endpoint URL as an AWS S3 URL for GitHub Packages, publication and installation of packages failed.

임시 액세스를 위해 리포지토리의 잠금을 해제한 후 사이트 관리자가 리포지토리의 보안 제품에 대한 설정을 관리할 수 없습니다.

관리 콘솔과 /home/admin/.ssh/authorized_keys 파일 모두에 중복된 관리 SSH 키가 나타날 수 있습니다.

경우에 따라 ghe-cluster-config-apply를 실행하면 빈 구성이 클러스터의 기존 노드에 복제될 수 있습니다.

경우에 따라 ghe-config-apply로 시작된 구성 실행이 완료되지 않았거나 Container count mismatch 오류를 반환했습니다.

GitHub Enterprise Server 인스턴스에서 자체 서명된 TLS 인증서를 업데이트한 후 웹 인터페이스의 일부 페이지에 UI 요소가 나타나지 않았습니다.

일부 경우에는 스레드가 안전하지 않음에도 불구하고 동시에 사용된 라이브러리로 인해 백그라운드 작업이 중단될 수 있습니다.

병렬 로그 검사를 통해 지원 번들을 더 빠르게 생성할 수 있습니다. 지원 번들에 대한 자세한 내용은 "GitHub 지원에 데이터 지원"을 참조하세요.

엔터프라이즈 감사 로그에는 이제 project.create와 같은 사용자 생성 이벤트가 더 많이 포함됩니다. REST API는 repo.create와 같은 추가 사용자 생성 이벤트도 반환합니다. 자세한 내용은 "엔터프라이즈의 감사 로그에 액세스" 및 "엔터프라이즈의 감사 로그 API 사용"을 참조하세요.

CRITICAL: GitHub Enterprise Server's Elasticsearch container used a version of OpenJDK 8 that was vulnerable to an integer truncation issue when processing malicious XSLT stylesheets. The vulnerability is tracked as CVE-2022-34169.

HIGH: Previously installed apps on user accounts were automatically granted permission to access an organization on scoped access tokens after the user account was transformed into an organization account. This vulnerability was reported via the GitHub Bug Bounty program.

When a custom dormancy threshold was set for the instance, suspending all dormant users did not reliably respect the threshold. For more information about dormancy, see "Managing dormant users."

The enterprise audit log now includes more user-generated events, such as project.create. The REST API also returns additional user-generated events, such as repo.create. For more information, see "Accessing the audit log for your enterprise" and "Using the audit log API for your enterprise."

MEDIUM: Prevents an attack where a server-side request forgery (SSRF) could potentially force the Subversion (SVN) bridge to execute remote code by injecting arbitrary data into Memcached.

MEDIUM: Prevents an attacker from executing Javascript code by exploiting a cross-site scripting (XSS) vulnerability in dropdown UI elements within the GitHub Enterprise Server web interface.

Updates Grafana to version 7.5.16, which addresses various security vulnerabilities including CVE-2020-13379 and CVE-2022-21702.

Packages have been updated to the latest security versions.

MEDIUM: A stored XSS vulnerability was identified in GitHub Enterprise Server that allowed the injection of arbitrary attributes. This injection was blocked by Github's Content Security Policy (CSP). This vulnerability was reported via the GitHub Bug Bounty program and has been assigned CVE-2022-23733. [Updated: 2022-07-31]

MEDIUM: A vulnerability involving deserialization of untrusted data was identified in GitHub Enterprise Server that could potentially lead to remote code execution on the Subversion (SVN) bridge. To exploit this vulnerability, an attacker would need to gain access via a server-side request forgery (SSRF) that would let an attacker control the data being deserialized. This vulnerability was reported via the GitHub Bug Bounty program and has been assigned CVE-2022-23734.

Fixed an issue where the files inside the artifact zip archives had permissions of 000 when unpacked using an unzip tool. Now the files will have the permissions set to 644, the same way as it works in GitHub.com.

In some cases, the collectd daemon could consume excess memory.

In some cases, backups of rotated log files could accumulate and consume excess storage.

After an upgrade to a new feature release and subsequent configuration run, Elasticsearch could log excessive exceptions while rebuilding indices.

In some cases where a protected branch required more than one approving review, a pull request could be merged with fewer than the required number of approving reviews.

On instances using LDAP authentication, the authentication prompt for sudo mode incorrectly placed the cursor within the password field by default when text fields for both a username and password were visible.

The ghe-set-password command-line utility starts required services automatically when the instance is booted in recovery mode.

Metrics for aqueduct background processes are gathered for Collectd forwarding and display in the Management Console.

The location of the database migration and configuration run log, /data/user/common/ghe-config.log, is now displayed on the page that details a migration in progress.

보통: 내부 서비스에서 'github.company.com'과 'github-company.com'을 동일한 호스트 이름으로 평가하지 않도록 하여 잠재적인 SSRF(서버 쪽 보안 위조) 공격을 방지합니다.

낮음: 외부 방화벽 규칙이 HTTP 액세스를 차단하더라도 공격자는 HTTP를 통해 경로 통과 공격을 사용하여 관리 콘솔에 액세스할 수 있습니다.

패키지가 최신 보안 버전으로 업데이트되었습니다.

사이트 관리자가 자동으로 엔터프라이즈 소유자로 추가되지 않은 경우도 있습니다.

분기를 기본 분기로 병합한 후에도 파일의 "History" 링크는 대상 분기가 아닌 이전 분기로 계속 연결됩니다.

검사 실행 또는 검사 집합을 만들거나 업데이트하면 이름과 같은 특정 필드의 값이 너무 길 경우 500 내부 서버 오류가 반환될 수 있습니다.

패키지가 최신 보안 버전으로 업데이트되었습니다.

GitHub Enterprise Server 구성 파일의 호스트 이름을 검증하는 내부 스크립트는 호스트 이름 문자열이 "."(마침표 문자)로 시작하는 경우 오류를 반환합니다.

기본 노드의 호스트 이름이 60자를 초과하는 HA 구성에서 MySQL을 구성하지 못합니다.

명령줄을 사용하여 네트워크 설정을 구성할 때 게이트웨이 주소를 전달할 수 있도록 --gateway 인수가 ghe-setup-network 명령에 추가되었습니다.

삭제된 이미지 첨부 파일은 404 찾을 수 없음 오류 대신 500 내부 서버 오류를 반환합니다.

사이트 관리 대시보드에 보고된 "전체 인스턴스의 최대 커밋 수" 계산이 잘못되었습니다.

를 사용하여 복원을 수행할 때 리포지토리 복제본에 대한 데이터베이스 항목이 잘못되어 데이터베이스가 손상되었습니다.

클러스터 지원 번들을 생성할 때 메트릭의 포함을 최적화했습니다.

Elasticsearch가 유효한 노란색 상태를 보고한 HA 구성에서 이전 수정에서 도입된 변경 내용은 ghe-repl-stop명령을 차단하고 복제를 중지할 수 없습니다. ghe-repo-stop --force를 사용하면 서비스가 정상 또는 유효한 노란색 상태일 때 Elasticsearch가 강제로 중지됩니다.

ghe-migrator를 사용하거나 GitHub.com에서 내보낼 때 마이그레이션에서 끌어오기 요청 첨부 파일을 내보내지 못합니다.

보통: nginx 해결 프로그램에서 보안 이슈가 확인되었습니다. 여기에서 DNS 서버의 UDP 패킷을 위조할 수 있는 공격자가 1바이트 메모리 덮어쓰기를 유발하여 작업자 프로세스 충돌 또는 기타 잠재적인 손상을 일으킬 수 있습니다. 이 취약성에는 CVE-2021-23017이 할당되었습니다.

Git 보안 적용 블로그 게시물에 발표된 새로운 취약성을 해결하기 위해 actions/checkout@v2 및 actions/checkout@v3 작업이 업데이트되었습니다.

패키지가 최신 보안 버전으로 업데이트되었습니다.

일부 클러스터 토폴로지에서 ghe-cluster-status 명령이 /tmp에 빈 디렉터리를 남겼습니다.

SNMP가 많은 수의 'Cannot statfs' 오류 메시지를 syslog에 잘못 로깅했습니다.

SAML 인증 및 기본 제공 대체가 사용 설정된 인스턴스의 경우 기본 제공 사용자는 로그아웃한 후 생성된 페이지에서 로그인을 시도할 때 "로그인" 루프에 갇히게 됩니다.

/stafftools/repositories/:owner/:repo/disk 페이지에서 git fsck 출력을 보려고 하면 500 내부 서버 오류로 실패합니다.

SAML 암호화된 어설션을 사용할 때 일부 어설션이 SSH 키를 확인된 것으로 올바르게 표시하지 않았습니다.

문제 주석을 위해 업로드된 비디오는 제대로 렌더링되지 않습니다.

리포지토리 페이지에서 파일 찾기를 사용할 때 검색 필드 내에 백스페이스 키를 입력하면 검색 결과가 여러 번 나열되고 렌더링 문제가 발생합니다.

GitHub Enterprise Importer를 사용하여 리포지토리를 가져올 때 일부 이슈는 잘못 구성된 프로젝트 타임라인 이벤트로 인해 가져오지 못할 수 있습니다.

ghe-migrator를 사용하면 마이그레이션이 문제 및 끌어오기 요청에서 비디오 파일 첨부 파일을 가져오지 못합니다.

리포지토리에 ASCII가 아닌 문자가 포함된 태그가 있는 경우 릴리스 페이지에서 500 오류를 반환합니다. [업데이트 날짜: 2022-06-10]

고가용성 구성에서 관리 콘솔의 복제 개요 페이지는 현재 복제 상태가 아닌 현재 복제 구성만 표시한다는 점을 명시합니다.

GitHub Packages를 사용 설정한 경우 연결 문자열로 SAS(공유 액세스 서명) 사용은 현재 지원되지 않음을 명시합니다.

이제 지원 번들에 MySQL에 저장된 테이블의 행 수가 포함됩니다.

유지 보수를 예약할 리포지토리 네트워크를 결정할 때 연결할 수 없는 개체의 크기를 더 이상 계산하지 않습니다.

이제 run_started_at 응답 필드가 워크플로 실행 API 및 workflow_run 이벤트 웹후크 페이로드에 포함됩니다.

패키지가 최신 보안 버전으로 업데이트되었습니다.

매니페스트 파일이 리포지토리에서 삭제될 때 매니페스트가 리포지토리의 "종속성 그래프" 페이지에서 제거되지 않습니다.

GitHub Actions에 대한 아티팩트를 검색하고 로그 보관 계층을 다운로드하지 못할 수 있는 회귀를 해결했습니다. 일부 상황에서는 localhost를 사용하는 내부 통신에 대한 URL 확인을 중지하고 대신 인스턴스 호스트 이름을 잘못 사용했습니다.

업그레이드 패키지를 사용하여 고가용성 쌍의 노드를 업그레이드하면 Elasticsearch가 불일치 상태가 될 수 있습니다.

확장명이 .backup인 회전된 로그 파일은 시스템 로그가 포함된 디렉터리에 누적됩니다.

일부 클러스터 토폴로지에서 명령줄 유틸리티 ghe-spokesctl 및 ghe-btop가 실행되지 않습니다.

병렬로 여러 번 실행되는 elasticsearch-upgrade 서비스로 인해 Elasticsearch 인덱스가 패키지 업그레이드 중에 복제될 수 있습니다.

끌어오기 요청 및 커밋 보기에서 Git LFS에 의해 추적된 일부 파일에 대해 리치 diff가 로드되지 않습니다.

사용자 계정을 조직으로 변환할 때 사용자 계정이 GitHub Enterprise Server 엔터프라이즈 계정의 소유자인 경우 변환된 조직이 엔터프라이즈 소유자 목록에 잘못 나타납니다.

엔터프라이즈 관리 REST API를 사용하여 가장 OAuth 토큰을 만들면 OAuth 애플리케이션 ID와 일치하는 통합이 이미 있는 경우 오류가 발생합니다.

비밀 검사 REST API는 검색된 비밀에 UTF8 문자가 있을 때 '500' 응답 코드를 반환합니다.

리포지토리 캐시 서버는 로컬 캐시 위치에서 데이터를 사용할 수 있는 경우에도 비캐시 위치의 데이터를 제공할 수 있습니다.

이제 구성 적용 실행을 중지하는 구성 오류가 구성 로그뿐만 아니라 터미널에도 출력됩니다.

Memcached에서 허용되는 최댓값 이상의 값을 캐시하려는 경우 오류가 발생하지만 키는 보고되지 않습니다.

GitHub Advanced Security 기능이 인스턴스에서 사용되도록 설정된 경우 스토리지 기여에 대한 일괄 처리를 처리할 때 백그라운드 작업의 성능이 향상되었습니다.

보통: GitHub Enterprise Server 관리 콘솔에서 CSRF 보호 조치를 무시하는 경로 탐색 취약성이 식별되었습니다. 이 취약성은 3.5 이전의 모든 GitHub Enterprise Server 버전에 영향을 미치며, 버전 3.1.19, 3.2.11, 3.3.6, 3.4.1에서 수정되었습니다. 이 취약성은 GitHub 버그 장려금 프로그램을 통해 보고되었으며 CVE-2022-23732가 할당되었습니다.

보통: yajil의 1.x 분기 및 2.x 분기에서 정수 오버플로 취약성이 식별되었습니다. 이로 인해 향후 대규모(~2GB) 입력 처리 시 힙 메모리가 손상될 수 있습니다. 이 취약성은 내부적으로 보고되었고 CVE-2022-24795로 할당되었습니다.

GitHub Actions를 사용하도록 설정한 경우 지원 번들에 중요 파일이 포함될 수 있습니다.

패키지가 최신 보안 버전으로 업데이트되었습니다.

Dependabot을 사용하도록 설정할 때 오류로 인해 일부 보안 권고 사항이 더 이상 적용되지 않는 것으로 일시적으로 읽혔습니다.

GitHub Enterprise Server를 업그레이드한 후 이전 구성 옵션이 있는 경우 Minio 프로세스의 CPU 사용량이 높습니다.

이전 릴리스에서 발생한 프로토콜 버전을 제거했음에도 관리 콘솔의 프라이버시 설정에 TLS 1.0 및 TLS 1.1을 사용하도록 설정하는 옵션이 표시되었습니다.

HA 환경에서 MSSQL 복제본을 구성하려면 GitHub Actions를 처음 사용하도록 설정한 다음, 수동 단계가 추가로 필요할 수 있습니다.

핫패치 이후 내부 구성 파일의 하위 집합이 더 안정적으로 업데이트됩니다.

ghe-run-migrations 스크립트에서 임시 인증서 이름을 올바르게 생성하지 못하는 경우가 있습니다.

여러 웹 노드에서 내부 API 호출 실패로 인해 클러스터 환경에서 Git LFS 작업이 실패할 수 있습니다.

syscall 권한이 부족하여 gpg --import가 사용된 사전 수신 후크가 시간 초과되었습니다.

일부 클러스터 토폴로지에서 웹후크 제공 정보를 사용할 수 없습니다.

Elasticsearch 상태 검사는 마이그레이션 실행 시 노란색 클러스터 상태를 허용하지 않습니다.

리포지토리는 웹 UI에서 작동하지 않는 토론 탭을 표시합니다.

사용자가 사용자 계정을 조직으로 변환한 결과로 만들어진 조직이 전역 엔터프라이즈 계정에 추가되지 않았습니다.

액세스할 수 없는 페이지에 대한 링크가 제거되었습니다.

보류 중인 작업을 렌더링할 때 GitHub Actions 배포 그래프에 오류가 표시됩니다.

일부 인스턴스는 큐에 대기 중인 대량의 불필요한 백그라운드 작업으로 인해 CPU 사용률이 높았습니다.

이전에 동기화된 GPG 키를 동기화하려고 하면 LDAP 사용자 동기화 작업이 실패합니다.

사용자 끌어오기 요청 대시보드의 끌어오기 요청에 대한 링크를 사용하면 리포지토리 헤더가 로드되지 않습니다.

끌어오기 요청에 검토자로 팀을 추가하면 해당 팀의 구성원 수가 잘못 표시될 수 있습니다.

SCIM 그룹을 통해 외부에서 관리되는 구성원을 제거하려고 하면 팀 구성원 자격 API 엔드포인트 제거가 오류와 함께 응답합니다.

유휴 사용자가 대규모로 있으면 GitHub Connect 구성이 실패할 수 있습니다.

사이트 관리자 웹 UI의 “기능 및 베타 등록” 페이지가 잘못 제공되었습니다.

사이트 바닥글의 “사이트 관리자 모드” 링크를 클릭해도 상태가 변경되지 않았습니다.

spokesctl cache-policy rm 명령이 더 이상 error: failed to delete cache policy 메시지와 함께 실패하지 않습니다.

Memcached 연결 제한이 증가하여 대형 클러스터 토폴로지를 더 많이 수용했습니다.

종속성 Graph API가 이전에 고정적으로 정의된 포트에서 실행되었습니다.

클러스터 관련 Elasticsearch 분할 설정의 기본 분할 수가 업데이트되었습니다.

“사람” 페이지에서 조직 역할별로 기업 구성원을 필터링할 때 드롭다운 메뉴 항목의 텍스트가 개선되었습니다.

리포지토리 마이그레이션 중에 “심사” 및 “유지 관리” 팀 역할이 유지됩니다.

엔터프라이즈 소유자가 한 웹 요청 성능이 개선되었습니다.

높음: GitHub의 markdown 파서에서 정보 유출 및 RCE로 이어질 수 있는 정수 오버플로 취약성이 식별되었습니다. 이 취약성은 Google Project Zero의 Felix Wilhelm에서 GitHub 버그 장려금 프로그램을 통해 보고되었으며 CVE-2022-24724가 할당되었습니다.

고가용성 복제본의 시계가 기본 시계와 동기화되지 않은 경우 업그레이드에 실패할 수 있습니다.

2020년 9월 1일 이후 만들어진 OAuth 애플리케이션은 권한 부여 확인 API 엔드포인트를 사용할 수 없습니다.

사용자가 "saml"이라는 사용자 또는 조직을 등록할 수 있었습니다.

패키지가 최신 보안 버전으로 업데이트되었습니다.

Azure Blob Storage를 사용할 때 GitHub 패키지 스토리지 설정의 유효성을 검사하고 관리 콘솔에 저장할 수 없습니다.

mssql.backup.cadence 구성 옵션이 잘못된 characterset 경고와 함께 ghe-config-check에 실패했습니다.

memcached에서 2^{^16}을 초과하는 키를 얻을 때 SystemStackError(스택이 너무 깊음)를 수정했습니다.

사이트 전체에서 선택한 여러 메뉴가 잘못 렌더링되어 작동하지 않았습니다.

이제 취약성 데이터 없이 종속성 그래프를 사용할 수 있으므로 고객은 사용 중인 종속성과 버전을 확인할 수 있습니다. GitHub Connect를 사용하지 않고 종속성 그래프를 사용하도록 설정하면 취약성 정보가 제공되지 않습니다.

비밀 검색은 ZIP 및 기타 보관 파일에서 비밀 검색을 건너뜁니다.

보통: Secret Scanning API 호출은 요청 범위를 벗어난 리포지토리에 대한 경고를 반환할 수 있습니다.

패키지가 최신 보안 버전으로 업데이트되었습니다.

MySQL 비밀 회전 이후 nginx를 수동으로 다시 시작할 때까지 페이지를 사용할 수 없게 됩니다.

GitHub Actions가 사용하도록 설정되었을 때 마이그레이션이 실패할 수 있습니다.

ISO 8601 날짜로 유지 관리 일정을 설정할 때 시간대가 UTC로 변환되지 않아서 실제 예약 시간이 일치하지 않습니다.

cloud-config.service 관련 거짓 오류 메시지가 콘솔에 출력됩니다.

ghe-cluster-each를 사용하여 핫패치를 설치하면 버전 번호가 올바르게 업데이트되지 않습니다.

웹후크 테이블 정리 작업을 동시에 실행할 수 있으며, 리소스 경합이 발생하고 작업 실행 시간이 증가합니다.

기본에서 실행할 때 복제본의 ghe-repl-teardown은 MSSQL 가용성 그룹에서 복제본을 제거하지 않습니다.

확인된 또는 승인된 도메인에서 메일을 사용하는 사용자에 대한 이메일 기반 알림을 제한하는 기능이 올바르게 작동하지 않습니다.

CAS 인증을 사용하고 "일시 중단된 사용자 다시 활성화" 옵션이 사용하도록 설정되었을 때 일시 중단된 사용자가 자동으로 다시 활성화되지 않았습니다.

보안 경고 설정과 관련된 데이터베이스 마이그레이션이 장기간 실행되면 업그레이드 완료가 지연될 수 있습니다.

GitHub Connect 데이터 연결 레코드에 이제 활성 및 유휴 사용자 수와 구성된 휴면 기간이 포함됩니다.

패키지가 최신 보안 버전으로 업데이트되었습니다. 이러한 업데이트에서 Log4j가 2.17.1 버전으로 업데이트되었습니다. 참고: 이러한 GitHub Enterprise Server 버전에서 CVE-2021-44228, CVE-2021-45046, CVE-2021-45105, CVE-2021-44832의 영향을 해결하는 데는 3.3.1, 3.2.6, 3.1.14, 3.0.22에서 릴리스된 이전 완화 항목으로 충분합니다.

생성된 지원 번들에서 추가 비밀 삭제

보안 관리자 역할을 가진 팀의 사용자는 이제 감시 중인 리포지토리에 대한 보안 경고를 받게 됩니다.

보안 관리자 구성 요소는 최대 팀 수에 도달하면 덜 공격적인 경고를 표시합니다.

리포지토리에서 보안 관리자 팀을 제거하려고 하면 리포지토리 액세스 관리 페이지에서 403을 반환해야 합니다.

패키지가 최신 보안 버전으로 업데이트되었습니다.

작업 자체 호스팅된 실행기는 이전 GHES 설치에서 업그레이드한 후 자체 업데이트하거나 새 작업을 실행하지 못합니다.

MinIO를 GitHub Packages에 대한 Blob 스토리지로 구성할 때 스토리지 설정을 확인할 수 없습니다.

"경로 스타일 강제 적용"이 선택된 경우 GitHub Actions 스토리지 설정의 유효성을 검사하고 관리 콘솔에 저장할 수 없습니다.

유지 보수 모드가 설정된 업데이트 후에는 작업이 중지된 상태로 유지됩니다.

/data/user/tmp/pages에서의 권한 이슈 때문에 ghe-config-apply 실행에 실패할 수 있습니다.

낮은 브라우저 해상도에서 스크롤하여 관리 콘솔의 저장 단추에 연결할 수 없습니다.

collectd 버전 업그레이드 후 IOPS 및 스토리지 트래픽 모니터링 그래프가 업데이트되지 않았습니다.

일부 웹후크 관련 작업에서 대규모 로그가 생성될 수 있습니다.

사이트 관리 페이지에서 청구 탐색 항목을 볼 수 있었습니다.

여러 설명서 링크에서 404 찾을 수 없음 오류가 발생했습니다.

위험: Log4j 라이브러리의 원격 코드 실행 취약성이 CVE-2021-44228로 식별되었고, 3.3.1 이전의 모든 GitHub Enterprise Server 버전에 영향을 미칩니다. Log4j 라이브러리는 GitHub Enterprise Server 인스턴스에서 실행되는 오픈 소스 서비스에 사용됩니다. 이 취약성은 GitHub Enterprise Server 버전 3.0.22, 3.1.14, 3.2.6, 3.3.1.에서 수정되었습니다. 자세한 내용은 GitHub 블로그의 이 게시물을 참조하세요.

2021년 12월 17일 업데이트: 이 릴리스에 적용된 수정 사항은 CVE-2021-45046도 완화하며 이 릴리스 이후 게시되었습니다. CVE-2021-44228 및 CVE-2021-45046을 모두 완화하기 위해 GitHub Enterprise Server에 대한 추가 업그레이드는 필요하지 않습니다.

Organization owners can now grant teams the access to manage security alerts and settings on their repositories. The "security manager" role can be applied to any team and grants the team's members the following access:

• Read access on all repositories in the organization.
• Write access on all security alerts in the organization.
• Access to the organization-level security tab.
• Write access on security settings at the organization level.
• Write access on security settings at the repository level.

The security manager role is available as a public beta and subject to change. For more information, see "Managing security managers in your organization." [Updated 2022-07-29]

GitHub Actions now supports ephemeral (single job) self-hosted runners and a new workflow_job webhook to make autoscaling runners easier.

Ephemeral runners are good for self-managed environments where each job is required to run on a clean image. After a job is run, ephemeral runners are automatically unregistered from your GitHub Enterprise Server instance, allowing you to perform any post-job management.

You can combine ephemeral runners with the new workflow_job webhook to automatically scale self-hosted runners in response to GitHub Actions job requests.

For more information, see "Autoscaling with self-hosted runners" and "Webhook events and payloads."

A dark high contrast theme, with greater contrast between foreground and background elements, is now available on GitHub Enterprise Server 3.3. This release also includes improvements to the color system across all GitHub themes.

For more information about changing your theme, see "Managing your theme settings."

GitHub Enterprise Server 3.3 includes improvements to the maintenance of repositories, especially for repositories that contain many unreachable objects. Note that the first maintenance cycle after upgrading to GitHub Enterprise Server 3.3 may take longer than usual to complete.

GitHub Enterprise Server 3.3 includes the public beta of a repository cache for geographically-distributed teams and CI infrastructure. The repository cache keeps a read-only copy of your repositories available in additional geographies, which prevents clients from downloading duplicate Git content from your primary instance. For more information, see "About repository caching."

GitHub Enterprise Server 3.3 includes improvements to the user impersonation process. An impersonation session now requires a justification for the impersonation, actions are recorded in the audit log as being performed as an impersonated user, and the user who is impersonated will receive an email notification that they have been impersonated by an enterprise administrator. For more information, see "Impersonating a user."

A new stream processing service has been added to facilitate the growing set of events that are published to the audit log, including events associated with Git and GitHub Actions activity.

The GitHub Connect data connection record now includes a list of enabled GitHub Connect features. [Updated 2021-12-09]

An expiration date can now be set for new and existing personal access tokens. Setting an expiration date on personal access tokens is highly recommended to prevent older tokens from leaking and compromising security. Token owners will receive an email when it's time to renew a token that's about to expire. Tokens that have expired can be regenerated, giving users a duplicate token with the same properties as the original.

When using a personal access token with the GitHub API, a new GitHub-Authentication-Token-Expiration header is included in the response, which indicates the token's expiration date. For more information, see "Creating a personal access token."

Notification emails from discussions now include (Discussion #xx) in the subject, so you can recognize and filter emails that reference discussions.

Public repositories now have a Public label next to their names like private and internal repositories. This change makes it easier to identify public repositories and avoid accidentally committing private code.

If you specify the exact name of a branch when using the branch selector menu, the result now appears at the top of the list of matching branches. Previously, exact branch name matches could appear at the bottom of the list.

When viewing a branch that has a corresponding open pull request, GitHub Enterprise Server now links directly to the pull request. Previously, there would be a prompt to contribute using branch comparison or to open a new pull request.

You can now click a button to copy the full raw contents of a file to the clipboard. Previously, you would need to open the raw file, select all, and then copy. To copy the contents of a file, navigate to the file and click in the toolbar. Note that this feature is currently only available in some browsers.

When creating a new release, you can now select or create the tag using a dropdown selector, rather than specifying the tag in a text field. For more information, see "Managing releases in a repository."

A warning is now displayed when viewing a file that contains bidirectional Unicode text. Bidirectional Unicode text can be interpreted or compiled differently than it appears in a user interface. For example, hidden bidirectional Unicode characters can be used to swap segments of text in a file. For more information about replacing these characters, see the GitHub changelog.

You can now use CITATION.cff files to let others know how you would like them to cite your work. CITATION.cff files are plain text files with human- and machine-readable citation information. GitHub Enterprise Server parses this information into common citation formats such as APA and BibTeX. For more information, see "About CITATION files."

You can use new keyboard shortcuts for quotes and lists in Markdown files, issues, pull requests, and comments.

• To add quotes, use cmd shift . on Mac, or ctrl shift . on Windows and Linux.
• To add an ordered list, use cmd shift 7 on Mac, or ctrl shift 7 on Windows and Linux.
• To add an unordered list, use cmd shift 8 on Mac, or ctrl shift 8 on Windows and Linux.

See "Keyboard shortcuts" for a full list of available shortcuts.

You can now use footnote syntax in any Markdown field. Footnotes are displayed as superscript links that you can click to jump to the referenced information, which is displayed in a new section at the bottom of the document. For more information about the syntax, see "Basic writing and formatting syntax."

When viewing Markdown files, you can now click in the toolbar to view the source of a Markdown file. Previously, you needed to use the blame view to link to specific line numbers in the source of a Markdown file.

You can now add images and videos to Markdown files in gists by pasting them into the Markdown body or selecting them from the dialog at the bottom of the Markdown file. For information about supported file types, see "Attaching files."

GitHub Enterprise Server now automatically generates a table of contents for Wikis, based on headings.

When dragging and dropping files into a Markdown editor, such as images and videos, GitHub Enterprise Server now uses the mouse pointer location instead of the cursor location when placing the file.

You can now search issues by label using a logical OR operator. To filter issues using logical OR, use the comma syntax. For example, label:"good first issue","bug" will list all issues with a label of good first issue or bug. For more information, see "Filtering and searching issues and pull requests."

Improvements have been made to help teams manage code review assignments. You can now:

• Limit assignment to only direct members of the team.
• Continue with automatic assignment even if one or more members of the team are already requested.
• Keep a team assigned to review even if one or more members is newly assigned.

The timeline and reviewers sidebar on the pull request page now indicate if a review request was automatically assigned to one or more team members.

For more information, see the GitHub changelog.

You can now filter pull request searches to only include pull requests you are directly requested to review.

Filtered files in pull requests are now completely hidden from view, and are no longer shown as collapsed in the "Files Changed" tab. The "File Filter" menu has also been simplified. For more information, see "Filtering files in a pull request."

You can now create "composite actions" which combine multiple workflow steps into one action, and includes the ability to reference other actions. This makes it easier to reduce duplication in workflows. Previously, an action could only use scripts in its YAML definition. For more information, see "Creating a composite action."

Managing self-hosted runners at the enterprise level no longer requires using personal access tokens with the admin:enterprise scope. You can instead use the new manage_runners:enterprise scope to restrict the permissions on your tokens. Tokens with this scope can authenticate to many REST API endpoints to manage your enterprise's self-hosted runners.

The audit log now includes additional events for GitHub Actions. Audit log entries are now recorded for the following events:

• A self-hosted runner is registered or removed.
• A self-hosted runner is added to a runner group, or removed from a runner group.
• A runner group is created or removed.
• A workflow run is created or completed.
• A workflow job is prepared. Importantly, this log includes the list of secrets that were provided to the runner.

For more information, see "Security hardening for GitHub Actions."

GitHub Enterprise Server 3.3 contains performance improvements for job concurrency with GitHub Actions. For more information about the new performance targets for a range of CPU and memory configurations, see "Getting started with GitHub Actions for GitHub Enterprise Server."

To mitigate insider man in the middle attacks when using actions resolved through GitHub Connect to GitHub.com from GitHub Enterprise Server, the actions namespace (owner/name) is retired on use. Retiring the namespace prevents that namespace from being created on your GitHub Enterprise Server instance, and ensures all workflows referencing the action will download it from GitHub.com.

When a repository is deleted, any associated package files are now immediately deleted from your GitHub Packages external storage.

Dependency review is out of beta and is now generally available for GitHub Advanced Security customers. Dependency review provides an easy-to-understand view of dependency changes and their security impact in the "Files changed" tab of pull requests. It informs you of which dependencies were added, removed, or updated, along with vulnerability information. For more information, see "Reviewing dependency changes in a pull request."

Dependabot is now available as a private beta, offering both version updates and security updates for several popular ecosystems. Dependabot on GitHub Enterprise Server requires GitHub Actions and a pool of self-hosted runners configured for Dependabot use. Dependabot on GitHub Enterprise Server also requires GitHub Connect to be enabled. To learn more and sign up for the beta, contact the GitHub Sales team.

The depth of CodeQL's analysis has been improved by adding support for more libraries and frameworks and increasing the coverage of our existing library and framework models. JavaScript analysis now supports most common templating languages, and Java now covers more than three times the endpoints of previous CodeQL versions. As a result, CodeQL can now detect even more potential sources of untrusted user data, steps through which that data flows, and potentially dangerous sinks where the data could end up. This results in an overall improvement of the quality of code scanning alerts.

CodeQL now supports scanning standard language features in Java 16, such as records and pattern matching. CodeQL is able to analyze code written in Java version 7 through 16. For more information about supported languages and frameworks, see the CodeQL documentation.

Improvements have been made to the code scanning on:push trigger when code is pushed to a pull request. If an on:push scan returns results that are associated with a pull request, code scanning will now show these alerts on the pull request.

Some other CI/CD systems can be exclusively configured to trigger a pipeline when code is pushed to a branch, or even exclusively for every commit. Whenever such an analysis pipeline is triggered and results are uploaded to the SARIF API, code scanning will also try to match the analysis results to an open pull request. If an open pull request is found, the results will be published as described above. For more information, see the GitHub changelog.

You can now use the new pull request filter on the code scanning alerts page to find all the code scanning alerts associated with a pull request. A new "View all branch alerts" link on the pull request "Checks" tab allows you to directly view code scanning alerts with the specific pull request filter already applied. For more information, see the GitHub changelog.

User defined patterns for secret scanning is out of beta and is now generally available for GitHub Advanced Security customers. Also new in this release is the ability to edit custom patterns defined at the repository, organization, and enterprise levels. After editing and saving a pattern, secret scanning searches for matches both in a repository's entire Git history and in any new commits. Editing a pattern will close alerts previously associated with the pattern if they no longer match the updated version. Other improvements, such as dry-runs, are planned in future releases. For more information, see "Defining custom patterns for secret scanning."

Most REST API previews have graduated and are now an official part of the API. Preview headers are no longer required for most REST API endpoints, but will still function as expected if you specify a graduated preview in the Accept header of a request. For previews that still require specifying the preview in the Accept header of a request, see "API previews."

You can now use the REST API to configure custom autolinks to external resources. The REST API now provides beta GET/POST/DELETE endpoints which you can use to view, add, or delete custom autolinks associated with a repository. For more information, see "Autolinks."

You can now use the REST API to sync a forked repository with its upstream repository. For more information, see "Branches" in the REST API documentation.

Enterprise administrators on GitHub Enterprise Server can now use the REST API to enable or disable Git LFS for a repository. For more information, see "Repositories."

You can now use the REST API to query the audit log for an enterprise. While audit log forwarding provides the ability to retain and analyze data with your own toolkit and determine patterns over time, the new endpoint can help you perform limited analysis on recent events. For more information, see "GitHub Enterprise administration" in the REST API documentation.

GitHub App user-to-server API requests can now read public resources using the REST API. This includes, for example, the ability to list a public repository's issues and pull requests, and to access a public repository's comments and content.

When creating or updating a repository, you can now configure whether forking is allowed using the REST and GraphQL APIs. Previously, APIs for creating and updating repositories didn't include the fields allow_forking (REST) or forkingAllowed (GraphQL). For more information, see "Repositories" in the REST API documentation and "Repositories" in the GraphQL API documentation.

A new GraphQL mutation createCommitOnBranch makes it easier to add, update, and delete files in a branch of a repository. Compared to the REST API, you do not need to manually create blobs and trees before creating the commit. This allows you to add, update, or delete multiple files in a single API call.

Commits authored using the new API are automatically GPG signed and are marked as verified in the GitHub Enterprise Server UI. GitHub Apps can use the mutation to author commits directly or on behalf of users.

When a new tag is created, the push webhook payload now always includes a head_commit object that contains the data of the commit that the new tag points to. As a result, the head_commit object will always contain the commit data of the payload's after commit.

Page loads and jobs are now significantly faster for repositories with many Git refs.

After upgrading to GitHub Enterprise Server 3.3, GitHub Actions may fail to start automatically. To resolve this issue, connect to the appliance via SSH and run the ghe-actions-start command.

On a freshly set up GitHub Enterprise Server instance without any users, an attacker could create the first admin user.

Custom firewall rules are removed during the upgrade process.

Git LFS tracked files uploaded through the web interface are incorrectly added directly to the repository.

Issues cannot be closed if they contain a permalink to a blob in the same repository, where the blob's file path is longer than 255 characters.

When "Users can search GitHub.com" is enabled with GitHub Connect, issues in private and internal repositories are not included in GitHub.com search results.

The GitHub Packages npm registry no longer returns a time value in metadata responses. This was done to allow for substantial performance improvements. We continue to have all the data necessary to return a time value as part of the metadata response and will resume returning this value in the future once we have solved the existing performance issues.

Resource limits that are specific to processing pre-receive hooks may cause some pre-receive hooks to fail.

GitHub Actions storage settings cannot be validated and saved in the Management Console when "Force Path Style" is selected, and must instead be configured with the ghe-actions-precheck command line utility.

GitHub Enterprise Server 3.3 instances installed on Azure and provisioned with 32+ CPU cores would fail to launch, due to a bug present in the current Linux kernel. [Updated: 2022-04-08]

GitHub Enterprise Server 3.5 이상으로 업그레이드한 일부 GitHub Advanced Security 고객의 웹 UI와 REST API에 비밀 검사에서 보내는 경고가 표시되지 않는 경우가 있습니다. 경고가 계속 표시되게 하려면 이전 릴리스에서 3.5 이상으로 업그레이드할 때 3.4를 건너뛰지 않아야 합니다. 수정 사항은 3.5.5 및 3.6.1 패치 릴리스에서 사용할 수 있습니다.

3.4를 거치는 업그레이드를 계획하는 방법은 업그레이드 도우미를 참조하세요. [업데이트한 날짜: 2022년 9월 1일]

GitHub Enterprise Server 2.22 was discontinued on September 23, 2021. This means that no patch releases will be made, even for critical security issues, after this date. For better performance, improved security, and new features, upgrade to the newest version of GitHub Enterprise Server as soon as possible.

GitHub Enterprise Server 3.0 will be discontinued on February 16, 2022. This means that no patch releases will be made, even for critical security issues, after this date. For better performance, improved security, and new features, upgrade to the newest version of GitHub Enterprise Server as soon as possible.

Starting with GitHub Enterprise Server 3.3, GitHub Enterprise Server on XenServer is deprecated and is no longer supported. Please contact GitHub Support with questions or concerns.

To prevent accidental logging or exposure of access_tokens, we discourage the use of OAuth Application API endpoints and the use of API authentication using query parameters. View the following posts to see the proposed replacements:

• Replacement OAuth Application API endpoints
• Replacement authentication using headers instead of query param

These endpoints and authentication route are planned to be removed from GitHub Enterprise Server in GitHub Enterprise Server 3.4.

The CodeQL runner is being deprecated. GitHub Enterprise Server 3.3 will be the final release series that supports the CodeQL runner. Starting with GitHub Enterprise Server 3.4, the CodeQL runner will be removed and no longer supported. The CodeQL CLI version 2.6.2 or greater is a feature-complete replacement for the CodeQL runner. For more information, see the GitHub changelog.

Starting in GitHub Enterprise Server 3.1, support for GitHub's proprietary bit-cache extensions began to be phased out. These extensions are now deprecated in GitHub Enterprise Server 3.3.

Any repositories that were already present and active on your GitHub Enterprise Server instance running version 3.1 or 3.2 will have been automatically updated.

Repositories which were not present and active before upgrading to GitHub Enterprise Server 3.3 may not perform optimally until a repository maintenance task is run and has successfully completed.

To start a repository maintenance task manually, browse to https://<hostname>/stafftools/repositories/<owner>/<repository>/network for each affected repository and click the Schedule button.

GitHub Connect will no longer work after June 3rd for instances running GitHub Enterprise Server 3.1 or older, due to the format of GitHub authentication tokens changing. To continue using GitHub Connect, upgrade to GitHub Enterprise Server 3.2 or later. For more information, see the GitHub Blog. [Updated: 2022-06-14]