GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 GitLab 중요 보안 릴리스: 16.8.2, 16.7.5, 16.6.7에 대해 자세히 알아보세요. 오늘 우리는 GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 버전 16.8.1, 16.8.2, 16.7.5, 16.6.7을 출시합니다.
이 버전에는 중요한 보안 수정 사항이 포함되어 있으므로 모든 GitLab 설치를 즉시 이 버전 중 하나로 업그레이드하는 것이 좋습니다. GitLab.com은 이미 패치 버전을 실행하고 있습니다.
GitLab은 전용 보안 릴리즈의 취약점에 대한 패치를 릴리즈합니다. 보안 릴리즈에는 두 가지 유형이 있습니다. 즉, 기능 릴리스(매월 3번째 목요일에 배포) 일주일 후에 릴리즈되는 월별 예약 보안 릴리즈와 중요한 취약점에 대한 임시 보안 릴리즈입니다. 자세한 내용은 보안 FAQ를 참조하세요 . 여기에서 정규 및 보안 릴리즈 블로그 게시물을 모두 볼 수 있습니다 . 또한, 각 취약점을 자세히 설명하는 문제는 패치가 적용된 릴리즈로부터 30일 후에 문제 추적기에 공개됩니다.
우리는 고객에게 노출되거나 호스트 고객 데이터가 가장 높은 보안 표준을 유지하는 GitLab의 모든 측면을 보장하기 위해 최선을 다하고 있습니다. 우수한 보안 위생을 유지하는 일환으로 모든 고객은 지원되는 버전에 맞는 최신 보안 릴리즈로 업그레이드하는 것이 좋습니다. 블로그 게시물에서 GitLab 인스턴스 보안에 대한 더 많은 모범 사례를 읽을 수 있습니다 .
권장 조치
아래 버전에 해당된다면 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다 .
제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는��다는 의미입니다.
보안 조치 사항
사용자 정의 역할에 대한 그룹 액세스 토큰 생성의 제한
16.8.2 이전의 16.8부터 모든 버전에 영향을 미치는 문제가 GitLab EE에서 발견되었습니다. 사용자에게 Manage_group_access_tokens 권한이 있는 사용자 지정 역할이 할당되면 소유자 권한이 있는 그룹 액세스 토큰을 생성할 수 있으며 이로 인해 권한이 상승될 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N, 6.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-1250 이 할당되었습니다.
프로젝트 관리자는 그룹의 스캔 결과 정책 block_branch_modification 설정을 우회할 수 있습니다.
16.6.7 이전 16.4, 16.7.5 이전 16.7, 16.8.2 이전 16.8의 모든 버전에 영향을 미치는 문제가 GitLab EE에서 발견되었습니다. 이로 인해 관리자는 보안 정책을 우회하여 보호된 브랜치의 이름을 변경할 수 있습니다. MR 차단에 추가되었습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:H/A:H, 6.7). 이제 최신 릴리스에서 완화되었으며 CVE-2023-6840 이 할당되었습니다 .
파이프라인 구문을 확인하는 동안 CI/CD 파이프라인 편집기에서 ReDoS를 수행합니다.
GitLab CE/EE에서 서비스 거부 취약성이 확인되었습니다. 이는 16.6.7 이전의 15.11, 16.7.5 이전의 16.7, 16.8.2 이전의 16.8의 모든 버전에 영향을 미치는 문제입니다. 이 문제로 인해 공격자가 GitLab 인스턴스 리소스 사용량을 급증시켜 서비스 저하가 발생할 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2023-6386 이 할당되었습니다 .
**GraphQL을 사용한 리소스 고갈 vulnerabilitiesCountByDay **
16.6.7 이전의 13.3.0, 16.7.5 이전의 16.7, 16.8.2 이전의 16.8의 모든 버전에 영향을 미치는 문제가 GitLab EE에서 발견되었습니다. 이로 인해 공격자가 GraphQL vulnerabilitiesCountByDay 를 사용하여 리소스 소진을 수행할 수 있습니다 . 이는 심각도가 중간인 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-1066 이 할당되었습니다 .
PostgreSQL 14.10 및 13.13으로 업데이트
PostgreSQL이 업데이트되었습니다.
추가 보완된 기능
16.8.2
- Gitaly: Dockerfile(16.8)에 대해 CI에서 PYTHON_TAG를 올바르게 설정합니다.
- GDK 기본 빌드 이미지 업데이트 및 QA GEM 업데이트
- "협력자를 가져오기 위한 범위 유효성 검사" 되돌리기
- !142896을 16.8 안정 분기로 백포트
- 종속성 prometheus-client-mmap을 '~> 1.1', '>= 1.1.1'로 업데이트
- ConnectionPool 계측 설정 연기
- N+1 쿼리를 방지하기 위해 도우미 및 마이그레이션에 item_to_preload 메서드를 추가합니다.
- 여러 컨테이너 구성요소가 있는 devfile의 버그 수정
- 백포트 "Sidekiq 7 gem과 Redis 6.0 호환성 손상 수정"
- 정리를 수행하기 전에 UUID 백필을 마무리합니다.
- 백포트 - geo_pg_upgrade 이후에 업그레이드 후 단계가 실행되는지 확인하세요.
16.7.5
16.6.7
- 누락된 IMAGE_TAG_EXT를 참조된 PostgreSQL 이미지에 추가하세요.
- 백포트: GDK 기본 빌드 이미지 업데이트
- [백포트] 환경 변수를 통한 패키지 승격을 위한 실행기 태그 제어