GitLab 보안 릴리스 16.3.1, 16.2.5 및 16.1.5 (23.09.01) 릴리즈 패치
2023년 9월 1일 GitLab 주요 보안 릴리스 사항을 안내 드립니다.
본 보안 릴리스는 GitLab 커뮤니티 에디션(CE) 및 엔터프라이즈 에디션(EE)용 GitLab 보안 릴리스, 16.3.1, 16.2.5 및 16.1.5에 대한 릴리스입니다.
이 릴리즈 패치는 월별 예정 보안 릴리스와 중요한 취약성에 대한 임시 보안 릴리스입니다.
GitLab.com은 이미 패치된 버전을 실행하고 있습니다.
[보안 릴리스 필요 버전]
GitLab 커뮤니티 에디션(CE) 및 엔터프라이즈 에디션(EE)용 대상
GitLab.com(SaaS)은 이미 패치된 버전을 적용
- 16.1~16.1.5 버전
- 16.2
16.2.5, 16.316.3.1 버전
[보안성 조치 사항]
| 조치내역 | 심각도 |
|---|---|
| 그룹 서비스 계정을 통해 “외부 사용자”의 권한을 내부 액세스로 승격 외부 사용자에게 그룹에 대한 소유자 역할이 부여되면 해당 외부 사용자는 해당 그룹에 서비스 계정을 생성하여 인스턴스에 대한 권한을 에스컬레이션할 수 있습니다. 이 서비스 계정은 외부 계정으로 분류되지 않으며 내부 프로젝트에 액세스하는 데 사용될 수 있습니다. 중간 심각도의 문제입니다. CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N, 6.5). 이제 최신 릴리스에서 완화되었으며 CVE-2023-3915가 할당되었습니다. | Medium |
| 현재 그룹 외부에서 프로젝트 분기 13.3 이전 16.1.5부터 시작하는 모든 버전, 16.2 이전 16.2.5부터 시작하는 모든 버전, 16.3.1 이전 16.3부터 시작하는 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 부적절한 권한 검증으로 인해 권한이 없는 사용자가 현재 그룹 외부에서 프로젝트를 분기할 수 있었습니다. 이는 중간 심각도의 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N, 4.3). 이제 최신 릴리스에서 완화되었으며 CVE-2023-4638이 할당되었습니다. | Medium |
| 브랜치 및 태그에 대한 페이지 매김을 건너뛰면 DoS가 발생할 수 있습니다. 브랜치 및 태그에 대한 페이지 매김을 건너뛰면 프로젝트 API 페이지 매김을 건너뛸 수 있습니다. 잠재적으로 특정 인스턴스에서 DoS로 이어질 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H, 5.3). 이제 최신 릴리스에서 완화되었으며 CVE-2023-4647이 할당되었습니다. | Medium |
| 대량 가져오기 API의 ReDoS 인증된 사용자는 악성 콘텐츠를 가져오거나 복제할 때 서비스 거부를 유발할 수 있습니다. 이는 중간 심각도의 문제입니다.( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5). 이제 최신 릴리스에서 완화되었으며 CVE-2023-3205가 할당되었습니다. | Medium |
| OpenSSL 업데이트 보안 문제의 완화를 위해 Openssl이 1.1.1u 버전으로 업데이트되었습니다 | - |
[비보안 패치]
16.3.1
16.2.5
16.1.5
Eva
Project Manager
UI/UX 서비스 기획자로 커머스·시스템 구축·운영 등 다양한 프로젝트를 경험했습니다. 사용자 관점에서 요구사항을 빠르게 정리해 정책·IA·UX 흐름처럼 실행 가능한 구조로 설계하는 데 강점이 있습니다. 기획과 커뮤니케이션, 디자인, 개발 편식없이 일하는 잡식성 업무스타일을 가지고 있습니다.
이 저자의 글 모두 보기 →관련 글
GitLab 보안 패치 릴리즈 18.10.1, 18.9.3, 18.8.7
GitLab Community Edition과 Enterprise Edition의 18.10.1, 18.9.3, 18.8.7 버전이 출시되었으며, 12건의 보안 수정 사항과 여러 버그 수정을 포함하고 있어 즉시 업그레이드가 권장됩니다. 주요 취약점으로는 Jira Connect의 부적절한 파라미터 처리, GLQL API의 CSRF 문제 등이 있으며, 각 취약점에 대한 상세 정보는 30일 후 공개됩니다. 업그레이드 시 데이터베이스 마이그레이션에 주의해야 하며, 다중 노드 인스턴스는 무중단 업그레이드가 가능합니다.
2026년 4월 2일
GitLab 보안 패치 릴리즈 18.9.2, 18.8.6, 18.7.6
GitLab 18.9.2, 18.8.6, 18.7.6 버전이 출시되었으며, 14건의 보안 수정 사항과 다수의 버그 수정이 포함되어 있어 모든 셀프 관리형 인스턴스의 즉시 업그레이드를 권장합니다. 주요 보안 취약점으로는 Markdown 플레이스홀더 XSS, GraphQL API DoS, Repository 아카이브 DoS, Protected Branches API DoS 등이 있습니다.
2026년 3월 11일
GitLab 보안 패치 릴리즈 18.9.1, 18.8.5, 18.7.5
GitLab의 18.9.1, 18.8.5, 18.7.5 버전이 출시되었으며, 9건의 보안 수정 및 여러 버그 수정을 포함하고 있습니다. 모든 사용자는 즉시 최신 버전으로 업그레이드할 것을 권장하며, 각 취약점에 대한 상세 정보는 30일 후 공개됩니다. 주요 보안 문제로는 크로스 사이트 스크립팅, 서비스 거부 공격 등이 있으며, 각 버전의 업데이트 및 마이그레이션 정보도 제공됩니다.
2026년 2월 25일