构建服务团队发布修复安全问题的版本

openSUSE Build Service 团队发布了 OBS 的 2.0.8 和 2.1.6 版本。这两个版本修复了一个关键的安全漏洞，该漏洞可能被滥用来在没有写入权限的情况下修改项目或软件包。我们强烈建议尽快将您的 OBS 实例更新到这些新版本。版本 1.7 不受此问题影响。 感谢 Marcus Hüwe 报告此问题。

关于 OBS 2.1.6 的详细信息

OBS 2.1.6 还修复了 LDAP 模式下的安全问题以及登录页面上可能的跨站脚本攻击向量（所有 webui 接口的完整 XSS 保护将包含在 OBS 2.3 中）。感谢 Intel 的 Dean Pierce 与我们讨论这些问题和可能的解决方案。

版本 2.1.6 可以像往常一样从 gitorious、openSUSE:Tools（或 openSUSE:Tool:2.0 获取版本 2.0.8）项目仓库或作为 用于测试和生产系统的设备 下载。

OBS 2.1.6 包含一些其他的更改，请阅读下面的发行说明。

**openSUSE Build Service 2.1.6** 可以从任何 OBS 2.1 版本更新的用户只需升级软件包并重新启动所有服务。从早期版本更新的用户应阅读 README.UPDATERS 文件。**安全修复** > > > * api: 修复允许在没有写入权限的情况下修改软件包或项目的安全漏洞 (CVE-2011-0466) > > * api: 在 LDAP 模式下更改密码对于外部用户是可能的 (bnc #648982) > > * webui: 修复登录页面上的潜在 XSS 攻击向量 (bnc #669909, CVE-2011-0462) > **功能回溯** 无 **更改** > > > * 添加了 openSUSE 11.4 和 Debian 6.0 作为默认目标。 > > * 现在仅允许对处于审查状态的请求进行审查者添加或更改审查状态。 > **错误修复** > > > * webui: 修复指向已移动的 OBS 网络论坛的链接 > > * webui: 修复在高级仓库界面中添加来自远程项目的仓库 > > * api 和 webui: 不要使用（并失败）rails 3 环境 > > * api: 允许管理员为现有项目或软件包提高“sourceaccess”权限 > > * api: 不要允许通过分支命令创建包含无效字符的软件包 > > * api: 在直接和间接通过项目链接找到软件包时，不要在“mbranch”时失败 > > * 后端: 允许浏览远程项目的仓库（修复了添加仓库的高级 webui 视图） >