GitLab 주요 보안 릴리스 16.5.1, 16.4.2 및 16.3.6
2023년 11월 1일 GitLab 주요 보안 릴리스 사항을 안내 드립니다.
본 보안 릴리스는 GitLab 커뮤니티 에디션(CE) 및 엔터프라이즈 에디션(EE)용 GitLab 보안 릴리스, 16.5.1, 16.4.2 및 16.3.6에 대한 릴리스입니다.
이 버전에는 중요한 보안 수정 사항이 포함되어 있으므로 GitLab 설치를 즉시 업그레이드할 것을 권장합니다. GitLab.com은 이미 패치된 버전을 실행하고 있습니다.
[보안 릴리스 필요 버전]
GitLab 커뮤니티 에디션(CE) 및 엔터프라이즈 에디션(EE)용 대상
GitLab.com(SaaS)은 이미 패치된 버전을 적용
- 해당 버전
12.9.8 부터 12.10 이전 모든 버전
12.10.7 부터 13.0 이전 모든 버전
16.2부터 16.3.6 이전 모든 버전
16.4부터 16.4.2 이전 모든 버전
16.5부터 이후 모든 버전
[보안 조치 내역]
| 조치내역 | 심각도 |
|---|---|
| 사용자 정의 프로젝트 템플릿을 사용한 CI/CD 변수 공개 |
GitLab에서 11.6 이전의 12.9.8부터 시작하는 모든 버전, 12.10 이전의 12.10.7부터 시작하는 모든 버전, 13.0 이전의 13.0.1부터 시작하는 모든 버전에 영향을 미치는 문제가 발견되었습니다. 권한이 없는 프로젝트나 그룹 구성원이 사용자 정의 프로젝트 템플릿을 사용하여 CI/CD 변수를 읽을 수 있었습니다. 이는 심각도가 중간인 문제로 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N, 6.5) 판단되었습니다. 이 문제는 최신 릴리스에서 완화되었으며 CVE-2023-3399로 지정되었습니다. | Medium |
| CI 카탈로그가 포함된 OOM을 통한 GitLab 옴니버스 DoS 충돌
16.3.6 이전의 16.2부터 시작하는 모든 버전, 16.4.2 이전의 16.4부터 시작하는 모든 버전, 16.5.1 이전의 16.5부터 시작하는 모든 버전에서 문제가 GitLab CE/EE에서 발견되었습니다. 이 문제는 저권한의 공격자가 CI/CD 구성 요소를 잘못된 경로로 지정함으로써 서버가 무한 루프를 통해 사용 가능한 모든 메모리를 소진하게 하고, 이로 인해 서비스 거부가 발생할 수 있습니다. 이는 중간 수준의 심각도를 가진 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5). 이 문제는 최신 릴리스에서 해결되었으며, CVE-2023-5825로 지정되었습니다. | Medium |
| 입력을 통해 Large String으로 gitlab-ci.yml을 구문을 분석하면 **timeout**서비스 거부가 발생
이 문제는 12.3 이전에서 시작하는 16.3.6까지의 모든 버전, 16.4 이전에서 시작하는 16.4.2까지의 모든 버전, 그리고 16.5.1 이전에서 시작하는 16.5까지의 GitLab CE/EE 모든 버전에 영향을 미칩니다. gitlab-ci.yml 파일의 시간 초과 입력에 큰 문자열을 추가하면 정규식 서비스 거부가 가능하게 되었습니다. 이 문제의 심각도는 중간입니다. 이 문제는 최신 릴리스에서 완화되었으며, CVE-2023 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L 가 할당되었습니다.
| Medium |
| DoS - Tar 아카이브의 FIFO 파일 차단
GitLab EE/CE의 16.3.6 이전 버전, 16.4.2 이전의 16.4 버전, 16.5.1 이전의 16.5 버전에 영향을 주는 문제가 발견되었습니다. 이로 인해 공격자가 Sidekiq 작업 프로세서를 차단하는 것이 가능해집니다. 이는 중간 수준의 심각성을 가진 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L, 4.3). 이 문제는 최신 릴리스에서 완화되었으며, CVE-2023-3246으로 지정되었습니다. | Medium |
이외 추가 보안 조치 내역은 원문에서 확인해 보세요.
**[**추가 보완된 기능]
16.5.1
- 풀 미러링을 위해 더 나은 오류 메시지 되돌리기
- 열이 있는 경우에만 열을 삭제하도록 마이그레이션 후 업데이트
- 오류 발생 시 구독이 자동으로 다시 시작되지 않도록 vue-apollo를 다운그레이드하세요.
16.4.2
- UBI: 메일룸 빌드에 webrick gem을 명시적으로 추가합니다.
- VERSION 파일 업데이트
- 종속성 prometheus-client-mmap을 '>= 0.28.1'로 업데이트
- 백포트: commit_message_negative_regex가 누락된 경우 마이그레이션 수정
- 16.4로 백포트: 지역: 대기 상태에서 리소스가 멈추는 것을 방지하세요.
- 소유자가 0일 때 파이프라인 일정 보기 수정
- 불안정한 격리 삭제 delete_job_spec:46
- 프로젝트 생성 시 Geo 이벤트 생성
- 일괄 처리된 gitaly 참조 삭제 중복 버그 수정
16.3.6
Eva
Project Manager
UI/UX 서비스 기획자로 커머스·시스템 구축·운영 등 다양한 프로젝트를 경험했습니다. 사용자 관점에서 요구사항을 빠르게 정리해 정책·IA·UX 흐름처럼 실행 가능한 구조로 설계하는 데 강점이 있습니다. 기획과 커뮤니케이션, 디자인, 개발 편식없이 일하는 잡식성 업무스타일을 가지고 있습니다.
이 저자의 글 모두 보기 →관련 글
GitLab 보안 패치 릴리즈 18.10.1, 18.9.3, 18.8.7
GitLab Community Edition과 Enterprise Edition의 18.10.1, 18.9.3, 18.8.7 버전이 출시되었으며, 12건의 보안 수정 사항과 여러 버그 수정을 포함하고 있어 즉시 업그레이드가 권장됩니다. 주요 취약점으로는 Jira Connect의 부적절한 파라미터 처리, GLQL API의 CSRF 문제 등이 있으며, 각 취약점에 대한 상세 정보는 30일 후 공개됩니다. 업그레이드 시 데이터베이스 마이그레이션에 주의해야 하며, 다중 노드 인스턴스는 무중단 업그레이드가 가능합니다.
2026년 4월 2일
GitLab 보안 패치 릴리즈 18.9.2, 18.8.6, 18.7.6
GitLab 18.9.2, 18.8.6, 18.7.6 버전이 출시되었으며, 14건의 보안 수정 사항과 다수의 버그 수정이 포함되어 있어 모든 셀프 관리형 인스턴스의 즉시 업그레이드를 권장합니다. 주요 보안 취약점으로는 Markdown 플레이스홀더 XSS, GraphQL API DoS, Repository 아카이브 DoS, Protected Branches API DoS 등이 있습니다.
2026년 3월 11일
GitLab 보안 패치 릴리즈 18.9.1, 18.8.5, 18.7.5
GitLab의 18.9.1, 18.8.5, 18.7.5 버전이 출시되었으며, 9건의 보안 수정 및 여러 버그 수정을 포함하고 있습니다. 모든 사용자는 즉시 최신 버전으로 업그레이드할 것을 권장하며, 각 취약점에 대한 상세 정보는 30일 후 공개됩니다. 주요 보안 문제로는 크로스 사이트 스크립팅, 서비스 거부 공격 등이 있으며, 각 버전의 업데이트 및 마이그레이션 정보도 제공됩니다.
2026년 2월 25일