오늘 우리는 GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 버전 16.6.2, 16.5.4 및 16.4.4를 출시합니다.
이 버전은 중요한 보안 업데이트를 포함하므로 모든 GitLab 설치를 즉시 이 버전으로 업그레이드하는 것이 권장됩니다. GitLab.com은 이미 이 패치 버전을 사용하고 있습니다. GitLab에서는 전용 보안 릴리스를 통해 취약점을 패치합니다. 보안 릴리스에는 두 가지 유형이 있습니다: 매월 세 번째 목요일에 배포되는 기능 릴리스 후 일주일에 릴리스되는 월별 예약 보안 릴리스와 중요한 취약점에 대응하는 임시 보안 릴리스입니다. 자세한 내용은 보안 FAQ를 참조하십시오.
각 취약점에 대한 상세 설명은 패치가 적용된 릴리스 이후 30일 후에 문제 추적기에 공개됩니다. GitLab은 고객에게 노출되거나 호스트 고객 데이터를 최고 표준으로 보호하기 위해 최선을 다하고 있습니다. 모든 고객들은 지원되는 버전에 맞춰 최신 보안 릴리스로 업그레이드하면서 우수한 보안을 유지하는 것이 좋습니다. GitLab 인스턴스 보안에 대한 더 많은 모범 사례는 블로그 게시물에서 읽을 수 있습니다.
권장 조치
아래 설명된 문제의 영향을 받는 버전을 실행하는 모든 설치를 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다. 제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는다는 의미입니다.
보안 조 치 사항
스마트 카드 인증을 통해 사용자의 공인 인증서를 사용하여 임의의 사용자를 가장할 수 있습니다.
16.4.4 이전의 11.6, 16.5.4 이전의 16.5, 16.6.2 이전의 16.6 버전 모두에 영향을 미치는 GitLab EE의 스마트 카드 인증에서 발생하는 부적절한 인증서 유효성 검사 문제로, 공격자가 공개 키를 제공받은 다른 사용자로 인증할 수 있습니다. 이 문제는 스마트카드 인증을 사용하는 경우에만 발생합니다. 스마트카드 인증은 실험적인 기능으로, 관리자가 수동으로 활성화해야 합니다. 이 문제의 심각도는 높으며 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
, 7.4), 이제는 최신 릴리스에서 완화되었습니다. 이 문제는 CVE-2023-6680로 할당되었습니다.
하위 그룹이 보호된 분기에 병합하거나 푸시 하도록 허용되면 개발자 역할을 가진 하위 그룹 구성원이 푸시 또는 병합할 수 있는 능력을 얻을 수 있습니다.
버전 16.4.3, 16.5.3 및 16.6.1에 영향을 미치는 GitLab EE Premium 및 Ultimate에서 문제가 발견되었습니다. 보호된 분기에 푸시 및/또는 병합할 수 있는 사람을 정의하기 위해 하위 그룹을 사용하는 프로젝트에서 개발자 역할을 가진 하위 그룹 구성원이 보호된 분기에 푸시하거나 병합할 수 있었던 경우가 있을 수 있습니다. 이는 심각도가 중간인 문제입니다.(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
, 6.5) 이제 최신 릴리스에서 완화되었으며 CVE-2023-6564 할당되었습니다 . 다음 스크립트는 취약한 구성의 영향을 받을 수 있는 프로젝트를 식별하는 데 도움이 될 수 있습니다. 이 스크립트를 사용하면 프로젝트의 web_url 및 project_id, 그룹의 group_name/group_id와 함께 "Merge 허용" 또는 "푸시 및 Merge 허용"으로 설정된 그룹이 있는 프로젝트를 나열하는 CSV 파일을 생성할 수 있습니다. 이는 보호된 분기에 무단 변경이 발생했음을 나타내는 것이 아니라 해당 프로젝트가 이 취약한 구성의 영향을 받았다는 것을 나타냅니다. 영향을 받는 프로젝트의 경우 고객은 16.4.4, 16.5.4 또는 16.6.2로 업데이트하기 전에 16.4.3, 16.5.3 또는 16.6.1을 실행하는 자체 관리형 GitLab 인스턴스에서 병합된 병합 요청을 확인해야 합니다.
GitLab 웹 인터페이스는 설치 패키지 또는 태그에서 소스 코드를 다운로드할 때 정보의 무결성을 보장하지 않습니다.
16.4.4 이전의 모든 버전, 16.5.4 이전의 15.5부터 시작하는 모든 버전, 16.6.2 이전의 16.6부터 시작하는 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 특정 태그에서 소스 코드나 설치 패키지를 가져오면 파일 무결성이 손상될 수 있습니다. 이는 심각도가 중간인 문제입니다.( CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N
, 5.7) 이제 최신 릴리스에서 완화되었으며 CVE-2023-6051 할당되었습니다.