GitLab 주요 보안 릴리스 16.8.1, 16.7.4, 16.6.6, 16.5.8

Project Manager

2024년 1월 26일 · 약 8분

GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 GitLab 중요 보안 릴리스: 16.8.1, 16.7.4, 16.6.6, 16.5.8에 대해 자세히 알아보세요. 오늘 우리는 GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 버전 16.8.1, 16.7.4, 16.6.6, 16.5.8을 출시합니다.

이 버전에는 중요한 보안 수정 사항이 포함되어 있으므로 모든 GitLab 설치를 즉시 이 버전 중 하나로 업그레이드하는 것이 좋습니다. GitLab.com 및 GitLab Dedicated 환경은 이미 패치 버전을 실행하고 있습니다.

GitLab은 전용 보안 릴리스의 취약점에 대한 패치를 릴리스합니다. 보안 릴리스에는 두 가지 유형이 있습니다. 즉, 기능 릴리스(매월 3번째 목요일에 배포) 일주일 후에 릴리스되는 월별 예약 보안 릴리스와 중요한 취약점에 대한 임시 보안 릴리스입니다. 자세한 내용은 보안 FAQ를 참조하세요 . 여기에서 정규 및 보안 릴리스 블로그 게시물을 모두 볼 수 있습니다 . 또한, 각 취약점을 자세히 설명하는 이는 패치가 적용된 릴리스로부터 30일 후에 이슈 추적기에 공개됩니다.

우리는 고객에게 노출되거나 호스트 고객 데이터가 가장 높은 보안 표준을 유지하는 GitLab의 모든 측면을 보장하기 위해 최선을 다하고 있습니다. 우수한 보안 위생을 유지하는 일환으로 모든 고객은 지원되는 버전에 맞는 최신 보안 릴리스로 업그레이드하는 것이 좋습니다. GitLab 인스턴스 보안에 대한 더 많은 모범 사례는 블로그 게시물에서 읽을 수 있습니다.

권장 조치

아래 버전에 해당된다면 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다 .

제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는다는 의미입니다.

보안 조치 사항

워크스페이스 생성 중 임의의 파일 쓰기

16.5.8 이전 16.0, 16.6.6 이전 16.6, 16.7.4 이전 16.7, 16.8.1 이전 16.8의 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 이 문제에서는 인증된 사용자가 파일을 작성할 수 있습니다. 워크스페이스를 생성하는 동안 GitLab 서버의 임의 위치로 이동합니다. 이는 심각도가 매우높은 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H, 9.9). 이제 최신 릴리스에서 완화되었으며 CVE-2024-0402 가 할당되었습니다 .

이 보안 취약점에 대한 수정 사항은 16.6.6, 16.7.4 및 16.8.1 외에도 16.5.8로 백포트되었습니다. GitLab 16.5.8에는 이 취약점에 대한 수정 사항만 포함되어 있으며 이 블로그 게시물에 언급된 다른 수정 사항이나 변경 사항은 포함되어 있지 않습니다.

`Cargo.toml` Blob뷰어 의 ReDoS

16.6.6 이전 12.7, 16.7.4 이전 16.7, 16.8.1 이전 16.8의 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 공격자가 다음을 통해 정규식 서비스 거부를 트리거할 수 있었습니다. 악의적으로 제작된 입력이 Cargo.toml포함되어 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5). 이제 최신 릴리스에서 완화되었으며 CVE-2023-6159 가 할당되었습니다 .

사용자 이름에 HTML 삽입을 통한 임의 API PUT 요청

13.7 이후 16.6.6 이전, 16.7 이전 16.7.4 및 16.8 이전 16.8.1의 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 사용자 이름의 부적절한 입력 삭제로 인해 임의의 API PUT 요청이 허용됩니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N, 6.4). 이제 최신 릴리스에서 완화되었으며 CVE-2023-5933 이 할당되었습니다.

태그 RSS 피드에 공개 이메일 노출

16.6.6 이전, 16.7.4 이전 16.7, 16.8.1 이전 16.8의 모든 버전에 영향을 미치는 문제가 GitLab에서 발견되었습니다. 사용자 프로필의 공개 여부는 비활성화되었지만 태그 피드를 통해 사용자 이메일 주소를 읽을 수 있었습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N, 5.3). 이제 최신 릴리스에서 완화되었으며 CVE-2023-5612 가 할당되었습니다 .

비회원은 소유한 MR의 MR 담당자를 업데이트할 수 있습니다.

16.6.6 이전의 GitLab 버전 14.0, 16.7.4 이전의 16.7, 16.8.1 이전의 16.8에 인증 취약성이 존재합니다.

무단 공격자는 프로젝트 내에서 생성한 MR에 임의의 사용자를 할당할 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N, 4.3). 이제 최신 릴리스에서 완화되었으며 CVE-2024-0456 이 할당되었습니다 .