2023년 11월 1일 GitLab 주요 보안 릴리스 사항을 안내 드립니다.

본 보안 릴리스는 GitLab 커뮤니티 에디션(CE) 및 엔터프라이즈 에디션(EE)용 GitLab 보안 릴리스, 16.5.1, 16.4.2 및 16.3.6에 대한 릴리스입니다.

이 버전에는 중요한 보안 수정 사항이 포함되어 있으므로 **GitLab 설치를 즉시 업그레이드할 것을 권장합니다. **GitLab.com은 이미 패치된 버전을 실행하고 있습니다.

[보안 릴리스 필요 버전]

GitLab 커뮤니티 에디션(CE) 및 엔터프라이즈 에디션(EE)용 대상

GitLab.com(SaaS)은 이미 패치된 버전을 적용

• 해당 버전

  12.9.8 부터 12.10 이전 모든 버전

  12.10.7 부터 13.0 이전 모든 버전

  16.2부터 16.3.6 이전 모든 버전

  16.4부터 16.4.2 이전 모든 버전

  16.5부터 이후 모든 버전

[보안 조치 내역]

조치내역	심각도
**사용자 정의 프로젝트 템플릿을 사용한 CI/CD 변수 공개 **GitLab에서 11.6 이전의 12.9.8부터 시작하는 모든 버전, 12.10 이전의 12.10.7부터 시작하는 모든 버전, 13.0 이전의 13.0.1부터 시작하는 모든 버전에 영향을 미치는 문제가 발견되었습니다. 권한이 없는 프로젝트나 그룹 구성원이 사용자 정의 프로젝트 템플릿을 사용하여 CI/CD 변수를 읽을 수 있었습니다. 이는 심각도가 중간인 문제로 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N, 6.5) 판단되었습니다. 이 문제는 최신 릴리스에서 완화되었으며 CVE-2023-3399로 지정되었습니다.	Medium
**CI 카탈로그가 포함된 OOM을 통한 GitLab 옴니버스 DoS 충돌 **16.3.6 이전의 16.2부터 시작하는 모든 버전, 16.4.2 이전의 16.4부터 시작하는 모든 버전, 16.5.1 이전의 16.5부터 시작하는 모든 버전에서 문제가 GitLab CE/EE에서 발견되었습니다. 이 문제는 저권한의 공격자가 CI/CD 구성 요소를 잘못된 경로로 지정함으로써 서버가 무한 루프를 통해 사용 가능한 모든 메모리를 소진하게 하고, 이로 인해 서비스 거부가 발생할 수 있습니다. 이는 중간 수준의 심각도를 가진 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5). 이 문제는 최신 릴리스에서 해결되었으며, CVE-2023-5825로 지정되었습니다.	Medium
**입력을 통해 Large String으로 gitlab-ci.yml을 구문을 분석하면 ****timeout**서비스 거부가 발생 이 문제는 12.3 이전에서 시작하는 16.3.6까지의 모든 버전, 16.4 이전에서 시작하는 16.4.2까지의 모든 버전, 그리고 16.5.1 이전에서 시작하는 16.5까지의 GitLab CE/EE 모든 버전에 영향을 미칩니다. gitlab-ci.yml 파일의 시간 초과 입력에 큰 문자열을 추가하면 정규식 서비스 거부가 가능하게 되었습니다. 이 문제의 심각도는 중간입니다. 이 문제는 최신 릴리스에서 완화되었으며, CVE-2023 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L 가 할당되었습니다.	Medium
**DoS - Tar 아카이브의 FIFO 파일 차단 **GitLab EE/CE의 16.3.6 이전 버전, 16.4.2 이전의 16.4 버전, 16.5.1 이전의 16.5 버전에 영향을 주는 문제가 발견되었습니다. 이로 인해 공격자가 Sidekiq 작업 프로세서를 차단하는 것이 가능해집니다. 이는 중간 수준의 심각성을 가진 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L, 4.3). 이 문제는 최신 릴리스에서 완화되었으며, CVE-2023-3246으로 지정되었습니다.	Medium

이외 추가 보안 조치 내역은 원문에서 확인해 보세요.

**[**추가 보완된 기능]

16.5.1

• 풀 미러링을 위해 더 나은 오류 메시지 되돌리기
• 열이 있는 경우에만 열을 삭제하도록 마이그레이션 후 업데이트
• 오류 발생 시 구독이 자동으로 다시 시작되지 않도록 vue-apollo를 다운그레이드하세요.

16.4.2

• UBI: 메일룸 빌드에 webrick gem을 명시적으로 추가합니다.
• VERSION 파일 업데이트
• 종속성 prometheus-client-mmap을 '>= 0.28.1'로 업데이트
• 백포트: commit_message_negative_regex가 누락된 경우 마이그레이션 수정
• 16.4로 백포트: 지역: 대기 상태에서 리소스가 멈추는 것을 방지하세요.
• 소유자가 0일 때 파이프라인 일정 보기 수정
• 불안정한 격리 삭제 delete_job_spec:46
• 프로젝트 생성 시 Geo 이벤트 생성
• 일괄 처리된 gitaly 참조 삭제 중복 버그 수정

16.3.6

• UBI: 메일룸 빌드에 webrick gem을 명시적으로 추가합니다.
• 백포트 16.3: Exiftool을 12.65로 업그레이드
• 16-3-stable 브랜치 수정
• 16.3으로 백포트: 지역: 대기 상태에서 리소스가 멈추는 것을 방지하세요.

원문 바로가기

업그레이드 페이지 바로가기

인포그랩에 업그레이드 문의하기