2023년 9월 1일 GitLab 주요 보안 릴리스 사항을 안내 드립니다.
본 보안 릴리스는 GitLab 커뮤니티 에디션(CE) 및 엔터프라이즈 에디션(EE)용 GitLab 보안 릴리스, 16.3.1, 16.2.5 및 16.1.5에 대한 릴리스입니다.
이 릴리즈 패치는 월별 예정 보안 릴리스와 중요한 취약성에 대한 임시 보안 릴리스입니다.
GitLab.com은 이미 패치된 버전을 실행하고 있습니다.
[보안 릴리스 필요 버전]
GitLab 커뮤니티 에디션(CE) 및 엔터프라이즈 에디션(EE)용 대상
GitLab.com(SaaS)은 이미 패치된 버전을 적용
- 16.1~16.1.5 버전
- 16.2
16.2.5, 16.316.3.1 버전
[보안성 조치 사항]
| 조치내역 | 심각도 |
|---|---|
| 그룹 서비스 계정을 통해 “외부 사용자”의 권한을 내부 액세스로 승격 외부 사용자에게 그룹에 대한 소유자 역할이 부여되면 해당 외부 사용자는 해당 그룹에 서비스 계정을 생성하여 인스턴스에 대한 권한을 에스컬레이션할 수 있습니다. 이 서비스 계정은 외부 계정으로 분류되지 않으며 내부 프로젝트에 액세스하는 데 사용될 수 있습니다. 중간 심각도의 문제입니다. ( CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N, 6.5). 이제 최신 릴리스에서 완화되었으며 CVE-2023-3915가 할당되었습니다. | Medium |
| 현재 그룹 외부에서 프로젝트 분기 13.3 이전 16.1.5부터 시작하는 모든 버전, 16.2 이전 16.2.5부터 시작하는 모든 버전, 16.3.1 이전 16.3부터 시작하는 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 부적절한 권한 검증으로 인해 권한이 없는 사용자가 현재 그룹 외부에서 프로젝트를 분기할 수 있었습니다. 이는 중간 심각도의 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N, 4.3). 이제 최신 릴리스에서 완화되었으며 CVE-2023-4638이 할당되었습니다. | Medium |
| 브랜치 및 태그에 대한 페이지 매김을 건너뛰면 DoS가 발생할 수 있습니다. 브랜치 및 태그에 대한 페이지 매김을 건너뛰면 프로젝트 API 페이지 매김을 건너뛸 수 있습니다. 잠재적으로 특정 인스턴스에서 DoS로 이어질 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H, 5.3). 이제 최신 릴리스에서 완화되었으며 CVE-2023-4647이 할당되었습니다. | Medium |
| 대량 가져오기 API의 ReDoS 인증된 사용자는 악성 콘텐츠를 가져오거나 복제할 때 서비스 거부를 유발할 수 있습니다. 이는 중간 심각도의 문제입니다.( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5). 이제 최신 릴리스에서 완화되었으며 CVE-2023-3205가 할당되었습니다. | Medium |
| OpenSSL 업데이트 보안 문제의 완화를 위해 Openssl이 1.1.1u 버전으로 업데이트되었습니다 | - |
[비보안 패치]
16.3.1
16.2.5
16.1.5
인포그랩에 업그레이드 문의하기