GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 GitLab 중요 보안 릴리즈: 17.1.2, 17.0.4, 16.11.6에 대해 자세히 알아보세요. 오늘 우리는 GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 버전 17.1.2, 17.0.4, 16.11.6을 출시합니다.
이 버전에는 중요한 버그 및 보안 수정 사항이 포함되어 있으므로 모든 GitLab 설치를 즉시 이러한 버전 중 하나로 업그레이드하는 것이 좋습니다. GitLab.com은 이미 패치 버전을 실행하고 있습니다.
GitLab 패치 릴리즈는 취약점에 대한 수정 사항을 릴리즈합니다. 패치 릴리즈에는 예정된 릴리즈와 심각도가 높은 취약점에 대한 임시 중요 패치라는 두 가지 유형이 있습니다. 예정 출시일은 한 달에 두 번 둘째, 넷째 수요일에 출시됩니다. 자세한 내용은 릴리스 핸드북 및 보안 FAQ를 참조하세요 . 여기에서 모든 GitLab 릴리즈 블로그 게시물을 볼 수 있습니다. 보안 수정의 경우, 각 취약점을 자세히 설명하는 문제는 패치가 적용된 릴리즈로부터 30일 후에 문제 추적기에 공개됩니다 .
우리는 고객에게 노출되거나 호스트 고객 데이터가 가장 높은 보안 표준을 유지하는 GitLab의 모든 측면을 보장하기 위해 최선을 다하고 있습니다. 우수한 보안 수준을 유지하는 일환으로 모든 고객은 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것이 좋습니다. 블로그 게시물에서 GitLab 인스턴스 보안에 대한 더 많은 모범 사례를 읽을 수 있습니다 .
권장 조치
아래 버전에 해당된다면 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다 .
제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는다는 의미입니다.
보안 조치 사항
공격자가 임의의 사용자로 파이프라인 작업을 실행
GitLab CE/EE에서 16.11.6 이전 버전 15.8, 17.0.4 이전 17.0, 17.1.2 이전 17.1에 영향을 미치는 문제가 발견되었습니다. 이로 인해 공격자는 특정 상황에서 다른 사용자로 파이프라인을 트리거할 수 있습니다. 이는 Critical 심각도의 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N, 9.6). 이�제 최신 릴리즈에서 해결되었으며 CVE-2024-6385 가 지정되었습니다.
admin_compliance_framework 권한이 있는 Developer 사용자는그룹 URL을 변경할 수 있음
GitLab CE/EE에서 17.0.4 이전의 17.0부터 시작하는 모든 버전과 17.1.2 이전의 17.1부터 시작하는 모든 버전에 영향을 미치는 문제가 발견되었습니다. 여기서 admin_compliance_framework 사용자 정의 역할을 가진 개발자 사용자는 그룹 네임스페이스의 URL을 수정할 수 있었습니다. 이는 심각도가 중간인 문제입니다(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N, 4.9). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-5257이 할당되었습니다.
관리자 푸시 규칙의 커스텀 롤은 프로젝트 수준의 배포 토큰 생성 가능
GitLab CE/EE에서 17.0.4 이전의 17.0부터 시작하는 모든 버전과 17.1.2 이전의 17.1부터 시작하는 모든 버전에 영향을 미치는 문제가 발견되었습니다. admin_push_rules권한이 있는 게스트 사용자가 프로젝트 수준 배포 토큰을 생성할 수 있었습니다. 이는 심각도가 낮은 문제입니다( CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N, 3.8). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-5470 이 지정되었습니다.
Manifest confusion에 취약한 패키지 레지스트리
GitLab CE/EE에서 16.11.6 이전의 11.8부터, 17.0.4 이전의 17.0부터, 17.1.2 이전의 17.1부터 영향을 미치는 문제가 발견되었습니다. 이 문제로 인해 패키지 데이터가 충돌하는 NPM 패키지를 업로드 할 수 있었습니다. 이는 심각도가 낮은 문제입니다( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:N/I:L/A:N, 3.0). 현재 최신 릴리즈에서 완화되었으며 CVE-2024-6595 가 지정되었습니다.
admin_group_member 권한이 있는 사용자가 그룹 멤버를 차단할 수 있음
GitLab CE/EE에서 16.5부터 16.11.6 이전, 17.0부터 17.0.4 이전, 17.1부터 17.1.2 이전 모든 버전에 영향을 미치는 문제가 발견되었습니다. 이 문제로 인해 admin_group_member 의 커스텀 롤 역할의 사용자는 그룹 멤버를 차단할 수 있었습니다. 이는 심각도가 낮은 문제입니다( CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N, 2.7). 최신 릴리즈에서 완화되었으며 CVE-2024-2880 이 지정되었습니다.
GitLab Pages의 하위 도메인 인수
GitLab CE/EE에서 16.11.6 이전의 모든 버전, 17.0.4 이전의 17.0부터, 17.1.2 이전의 17.1부터 영향을 미치는 문제가 발견되었습니다. 이 문제는 사용자 지정 도메인이 확인될 때마다 도메인이 활성화되었는지 확인하여 GitLab Pages에서 하위 도메인 인수를 허용합니다. 이는 심각도가 낮은 문제입니다( , 3.5). 현재 최신 릴리즈에서 완화되었으며 CVE-2024-5528CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N 이 지정되었습니다 .
추가 보완 및 버그/수정 기능
17.1.2
- git: 업데이트
symlinkPointsToGitDir버전 확인 - Omnibus에서 MailRoom이 로드되지 않는 문제 수정
- 설정된 경우 Elasticsearch 인덱서에 정적 AWS 자격 증명을 사용합니다.
- ci: 17-1 안정적인 브랜치를 타겟으로 하는 MR에 기본 Ruby 버전을 사용합니다.
- 기본 검색 횟수가 아닌 거래 개시를 제거합니다.
- 'echui-gitlab-master-patch-58822' 브랜치를 'master'에 병합합니다.
- graphql_minimal_auth_methods에 대한 FF 버전 정보 업데이트
- 'correct_finalize_epics_backfilling' 브랜치를 '17-1-stable-ee'로 병합
- 검증되지 않은 변경 사항 병합 모달이 잘못 표시되는 문제를 수정합니다.
- 백포트 17.1: 필드는 Url이라고 해야 합니다.
- 백포트 릴리스 환경 알림 파이프라인이 17.1로 변경됨
- 종속성 slack-messenger를 v2.3.5로 업데이트
- 강제로 ffi gem이 Ruby 플랫폼 gem을 사용하도록 함
- 예약된 문자로 Redis 암호 처리 수정
- 안정적인 gitlab-org/gitlab 브랜치에 QA CI 테스트 고정
17.0.4
- 백포트 릴리스 환경 알림 파이프라인이 16.11로 변경되었습니다.
- 백포트 릴리스 환경 알림 파이프라인이 17.0으로 변경됨
- 종속성 slack-messenger를 v2.3.5로 업데이트
- 안정적인 gitlab-org/gitlab 브랜치에 QA CI 테스트 고정
- 예약된 문자로 Redis 암호 처리 수정
16.11.6
- graphql FF에 대한 버전 정보 업데이트
- 16.11에서 CI 작업에 사용할 Ruby 패치 버전을 정의합니다.
- 16.11의 경우: CI에서 Omnibus 및 CNG Ruby 버전을 명시적으로 설정
- 백포트 릴리스 환경 알림 파이프라인이 16.11로 변경되었습니다.
- 종속성 slack-messenger를 v2.3.5��로 업데이트
- 안정적인 gitlab-org/gitlab 브랜치에 QA CI 테스트 고정
더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다.지금 문의하기