2023년 9월 1일 GitLab 주요 보안 릴리스 사항을 안내 드립니다.

본 보안 릴리스는 GitLab 커뮤니티 에디션(CE) 및 엔터프라이즈 에디션(EE)용 GitLab 보안 릴리스, 16.3.1, 16.2.5 및 16.1.5에 대한 릴리스입니다.

이 릴리즈 패치는 월별 예정 보안 릴리스와 중요한 취약성에 대한 임시 보안 릴리스입니다.

GitLab.com은 이미 패치된 버전을 실행하고 있습니다.


[보안 릴리스 필요 버전]

GitLab 커뮤니티 에디션(CE) 및 엔터프라이즈 에디션(EE)용 대상

GitLab.com(SaaS)은 이미 패치된 버전을 적용

  • 16.1~16.1.5 버전
  • 16.216.2.5, 16.3 16.3.1 버전

[보안성 조치 사항]

조치내역심각도
그룹 서비스 계정을 통해 “외부 사용자”의 권한을 내부 액세스로 승격

외부 사용자에게 그룹에 대한 소유자 역할이 부여되면 해당 외부 사용자는 해당 그룹에 서비스 계정을 생성하여 인스턴스에 대한 권한을 에스컬레이션할 수 있습니다. 이 서비스 계정은 외부 계정으로 분류되지 않으며 내부 프로젝트에 액세스하는 데 사용될 수 있습니다. 중간 심각도의 문제입니다. (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N, 6.5). 이제 최신 릴리스에서 완화되었으며 CVE-2023-3915가 할당되었습니다.
Medium
현재 그룹 외부에서 프로젝트 분기

13.3 이전 16.1.5부터 시작하는 모든 버전, 16.2 이전 16.2.5부터 시작하는 모든 버전, 16.3.1 이전 16.3부터 시작하는 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 부적절한 권한 검증으로 인해 권한이 없는 사용자가 현재 그룹 외부에서 프로젝트를 분기할 수 있었습니다. 이는 중간 심각도의 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N, 4.3). 이제 최신 릴리스에서 완화되었으며 CVE-2023-4638이 할당되었습니다.
Medium
브랜치 및 태그에 대한 페이지 매김을 건너뛰면 DoS가 발생할 수 있습니다.

브랜치 및 태그에 대한 페이지 매김을 건너뛰면 프로젝트 API 페이지 매김을 건너뛸 수 있습니다. 잠재적으로 특정 인스턴스에서 DoS로 이어질 수 있습니다. 이는 심각도가 중간인 문제입니다(CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H, 5.3). 이제 최신 릴리스에서 완화되었으며 CVE-2023-4647이 할당되었습니다.
Medium
대량 가져오기 API의 ReDoS

인증된 사용자는 악성 콘텐츠를 가져오거나 복제할 때 서비스 거부를 유발할 수 있습니다. 이는 중간 심각도의 문제입니다.(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5). 이제 최신 릴리스에서 완화되었으며 CVE-2023-3205가 할당되었습니다.
Medium
OpenSSL 업데이트

보안 문제의 완화를 위해 Openssl이 1.1.1u 버전으로 업데이트되었습니다
-

[비보안 패치]

16.3.1


16.2.5


16.1.5


원문 바로가기

업그레이드 페이지 바로가기

인포그랩에 업그레이드 문의하기