본문으로 건너뛰기

GitLab 주요 보안 릴리스 16.6.2, 16.5.4, 16.4.4

Eva
· 약 14분

오늘 우리는 GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 버전 16.6.2, 16.5.4 및 16.4.4를 출시합니다.

이 버전은 중요한 보안 업데이트를 포함하므로 모든 GitLab 설치를 즉시 이 버전으로 업그레이드하는 것이 권장됩니다. GitLab.com은 이미 이 패치 버전을 사용하고 있습니다. GitLab에서는 전용 보안 릴리스를 통해 취약점을 패치합니다. 보안 릴리스에는 두 가지 유형이 있습니다: 매월 세 번째 목요일에 배포되는 기능 릴리스 후 일주일에 릴리스되는 월별 예약 보안 릴리스와 중요한 취약점에 대응하는 임시 보안 릴리스입니다. 자세한 내용은 보안 FAQ를 참조하십시오.

각 취약점에 대한 상세 설명은 패치가 적용된 릴리스 이후 30일 후에 문제 추적기에 공개됩니다. GitLab은 고객에게 노출되거나 호스트 고객 데이터를 최고 표준으로 보호하기 위해 최선을 다하고 있습니다. 모든 고객들은 지원되는 버전에 맞춰 최신 보안 릴리스로 업그레이드하면서 우수한 보안을 유지하는 것이 좋습니다. GitLab 인스턴스 보안에 대한 더 많은 모범 사례는 블로그 게시물에서 읽을 수 있습니다.

권장 조치

아래 설명된 문제의 영향을 받는 버전을 실행하는 모든 설치를 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다. 제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는다는 의미입니다.

보안 조치 사항

스마트 카드 인증을 통해 사용자의 공인 인증서를 사용하여 임의의 사용자를 가장할 수 있습니다.

16.4.4 이전의 11.6, 16.5.4 이전의 16.5, 16.6.2 이전의 16.6 버전 모두에 영향을 미치는 GitLab EE의 스마트 카드 인증에서 발생하는 부적절한 인증서 유효성 검사 문제로, 공격자가 공개 키를 제공받은 다른 사용자로 인증할 수 있습니다. 이 문제는 스마트카드 인증을 사용하는 경우에만 발생합니다. 스마트카드 인증은 실험적인 기능으로, 관리자가 수동으로 활성화해야 합니다. 이 문제의 심각도는 높으며 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N, 7.4), 이제는 최신 릴리스에서 완화되었습니다. 이 문제는 CVE-2023-6680로 할당되었습니다.

하위 그룹이 보호된 분기에 병합하거나 푸시하도록 허용되면 개발자 역할을 가진 하위 그룹 구성원이 푸시 또는 병합할 수 있는 능력을 얻을 수 있습니다.

버전 16.4.3, 16.5.3 및 16.6.1에 영향을 미치는 GitLab EE Premium 및 Ultimate에서 문제가 발견되었습니다. 보호된 분기에 푸시 및/또는 병합할 수 있는 사람을 정의하기 위해 하위 그룹을 사용하는 프로젝트에서 개발자 역할을 가진 하위 그룹 구성원이 보호된 분기에 푸시하거나 병합할 수 있었던 경우가 있을 수 있습니다. 이는 심각도가 중간인 문제입니다.(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N, 6.5) 이제 최신 릴리스에서 완화되었으며 CVE-2023-6564 할당되었습니다 . 다음 스크립트는 취약한 구성의 영향을 받을 수 있는 프로젝트를 식별하는 데 도움이 될 수 있습니다. 이 스크립트를 사용하면 프로젝트의 web_url 및 project_id, 그룹의 group_name/group_id와 함께 "Merge 허용" 또는 "푸시 및 Merge 허용"으로 설정된 그룹이 있는 프로젝트를 나열하는 CSV 파일을 생성할 수 있습니다. 이는 보호된 분기에 무단 변경이 발생했음을 나타내는 것이 아니라 해당 프로젝트가 이 취약한 구성의 영향을 받았다는 것을 나타냅니다. 영향을 받는 프로젝트의 경우 고객은 16.4.4, 16.5.4 또는 16.6.2로 업데이트하기 전에 16.4.3, 16.5.3 또는 16.6.1을 실행하는 자체 관리형 GitLab 인스턴스에서 병합된 병합 요청을 확인해야 합니다.

GitLab 웹 인터페이스는 설치 패키지 또는 태그에서 소스 코드를 다운로드할 때 정보의 무결성을 보장하지 않습니다.

16.4.4 이전의 모든 버전, 16.5.4 이전의 15.5부터 시작하는 모든 버전, 16.6.2 이전의 16.6부터 시작하는 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 특정 태그에서 소스 코드나 설치 패키지를 가져오면 파일 무결성이 손상될 수 있습니다. 이는 심각도가 중간인 문제입니다.( CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N, 5.7) 이제 최신 릴리스에서 완화되었으며 CVE-2023-6051 할당되었습니다.

프로젝트 유지관리자는 프로젝트 액세스 토큰 교체 API를 사용하여 프로젝트 소유자에게 에스컬레이션할 수 있습니다.

16.4.4 이전 16.0, 16.5.4 이전 16.5, 16.6.2 이전 16.6의 모든 버전에 영향을 미치는 GitLab EE의 권한 에스컬레이션 취약성으로 인해 프로젝트 유지관리자는 프로젝트 액세스 토큰을 사용하여 자신의 역할을 소유자로 에스컬레이션할 수 있습니다. 이는 심각도가 중간인 문제입니다.(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N, 4.9). 이제 최신 릴리스에서 완화되었으며 CVE-2023-3907 이 할당되었습니다.

파일 이름에 이중 인코딩을 생략하면 악성 콘텐츠가 포함된 저장소 생성이 촉진됩니다.

16.3 이전 16.4.4의 모든 버전, 16.5 이전 16.5.4부터 시작하는 모든 버전, 16.6.2 이전 16.6부터 시작하는 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 파일 이름에 특정 HTML 인코딩을 사용하면 UI에 잘못 표시될 수 있으므로 파일 무결성이 손상될 수 있습니다. 이는 심각도가 중간인 문제입니다(CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:H/A:N, 4.8) 이제 최신 릴리스에서 완화되었으며 CVE-2023-5512 할당되었습니다.

검증되지 않은 timeSpent 값으로 인해 이슈 보드에 이슈를 로드할 수 없습니다.

16.4.4 이전부터 시작하는 모든 버전, 16.5.4 이전 16.5부터 시작하는 모든 버전, 16.6.2 이전 16.6부터 시작하는 모든 버전에 영향을 미치는 문제가 GitLab EE에서 발견되었습니다. 이슈 게시판에 표시된 세부 사항을 변경한 이슈에 소요된 시간이 초과될 수 있었습니다. 이는 심각도가 중간인 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L, 4.3). 이제 최신 릴리스에서 완화되었으며 CVE-2023-3904로할당되었습니다 .

개발자는 REST API를 통해 사전 정의된 변수를 우회할 수 있습니다.

GitLab에서 9.3부터 16.4.4까지, 16.5부터 16.5.4까지, 그리고 16.6부터 16.6.2까지의 모든 버전에 문제가 발견되었습니다. 특정 상황에서 개발자는 REST API를 통해 사전에 정의된 CI 변수를 재정의할 수 있습니다. 이는 중간 수준의 심각도를 가진 문제로 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N, 4.3), 이제 최신 릴리스에서는 이 문제가 완화되었으며 CVE-2023-5061로 할당되었습니다.

감사자 사용자는 액세스 권한이 없는 프로젝트에 대해 병합 요청을 생성할 수 있습니다.

8.17부터 시작하여 16.4.4까지의 모든 버전, 16.5부터 시작하여 16.5.4까지의 모든 버전, 그리고 16.6부터 시작하여 16.6.2까지의 모든 버전에 영향을 미치는 문제가 GitLab EE에서 발견되었습니다. 감사자 사용자가 자신이 속하지 않은 개인 프로젝트에서 병합 요청을 생성하고 제출할 수 있었습니다. 이는 낮은 심각도의 문제입니다(CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A:N, 2.0). 이 문제는 최신 릴리스에서 해결되었으며, CVE-2023-3511로 할당되었습니다.

추가 보완된 기능

16.6.2

16.5.4

16.4.4

원문 바로가기

업그레이드 페이지 바로가기

인포그랩에 업그레이드 문의하기