GitLab 주요 보안 릴리즈 16.9.1,16.8.3,16.7.6

GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 GitLab 중요 보안 릴리즈: 16.9.1, 16.8.3, 16.7.6에 대해 자세히 알아보세요.

오늘 우리는 GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 버전 16.8.1, 16.9.1, 16.8.3, 16.7.6을 출시합니다.

이 버전에는 중요한 보안 수정 사항이 포함되어 있으므로 모든 GitLab 설치를 즉시 이 버전 중 하나로 업그레이드하는 것이 좋습니다. GitLab.com은 이미 패치 버전을 실행하고 있습니다. GitLab은 전용 보안 릴리스의 취약점에 대한 패치를 릴리즈합니다. 보안 릴리즈에는 두 가지 유형이 있습니다. 즉, 기능 릴리즈(매월 3번째 목요일에 배포) 일주일 후에 릴리즈되는 월별 예약 보안 릴리즈와 중요한 취약점에 대한 임시 보안 릴리즈입니다. 자세한 내용은 보안 FAQ를 참조하세요 . 여기에서 정규 및 보안 릴리즈 블로그 게시물을 모두 볼 수 있습니다. 또한, 각 취약점을 자세히 설명하는 문제는 패치가 적용된 릴리스로부터 30일 후에 문제 추적기에 공개됩니다.

우리는 고객에게 노출되거나 호스트 고객 데이터가 가장 높은 보안 표준을 유지하는 GitLab의 모든 측면을 보장하기 위해 최선을 다하고 있습니다. 우수한 보안 위생을 유지하는 일환으로 모든 고객은 지원되는 버전에 맞는 최신 보안 릴리즈로 업그레이드하는 것이 좋습니다. 블로그 게시물에서 GitLab 인스턴스 보안에 대한 더 많은 모범 사례를 읽을 수 있습니다.

권장 조치

아래 버전에 해당된다면 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다 .

제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는다는 의미입니다.

보안 조치 사항

사용자 프로필 페이지에 저장된 XSS

16.9 버전에만 영향을 미치는 GitLab CE/EE에서 문제가 발견되었습니다. 사용자 프로필 페이지에 추가된 조작된 페이로드는 공격자가 피해자를 대신하여 임의의 작업을 수행할 수 있도록 클라이언트 측에 저장된 XSS로 이어질 수 있습니다. 이는 심각도가 높은 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N, 8.7). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-1451 이 할당되었습니다.

"admin_group_members" 권한이 있는 사용자는 다른 그룹을 초대하여 소유자 액세스 권한을 얻을 수 있습니다.

16.5 이전 16.7.6부터 시작하는 모든 버전, 16.8 이전 16.8.3부터 시작하는 모든 버전, 16.9.1 이전 16.9부터 시작하는 모든 버전에 영향을 미치는 문제가 GitLab EE에서 발견되었습니다. 사용자에게 admin_group_member 권한이 있는 사용자 지정 역할이 할당되면 해당 사용자는 그룹, 다른 구성원 또는 자신을 해당 그룹의 소유자로 만들 수 있으며 이로 인해 권한이 올라갈 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:L, 6.7). 이제 최신 릴리즈에서 완화되었으며 CVE-2023-6477 이 할당되었습니다 .

Codeowners 참조 추출기의 ReDoS 문제

11.3 이전 16.7.6부터 시작하는 모든 버전, 16.8 이전 16.8.3부터 시작하는 모든 버전, 16.9.1 이전 16.9부터 시작하는 모든 버전에 영향을 미치는 문제가 GitLab EE에서 발견되었습니다. 공격자가 CODEOWNERS 파일에 있는 악의적으로 제작된 콘텐츠를 사용하여 클라이언트 측 서비스 거부를 유발하는 것이 가능했습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2023-6736 이 할당되었습니다 .

LDAP 사용자는 보조 이메일을 사용하여 비밀번호를 재설정하고 직접 인증을 사용하여 로그인할 수 있습니다.

16.1 이전 16.7.2부터 시작하는 모든 버전, 16.8 이전 16.8.2부터 시작하는 모든 버전, 16.9.2 이전 16.9부터 시작하는 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 일부 특수한 조건에서 LDAP 사용자는 확인된 보조 이메일 주소를 사용하여 비밀번호를 재설정하고 LDAP를 우회하여 재설정된 비밀번호로 직접 인증을 사용하여 로그인할 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:H/A:N, 5.3). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-1525 가 할당되었습니다.

환경/운영 대시보드를 통해 그룹 IP 제한 설정을 우회하여 프로젝트의 환경 세부 정보에 액세스

12.0에서 16.7.6까지의 모든 버전, 16.8.3 이전의 16.8에서 시작하는 모든 버전, 16.9.1 이전의 16.9에서 시작하는 모든 버전에 영향을 미치는 문제가 GitLab EE에서 발견되었습니다. 이 취약점으로 인해 '그룹 IP 제한' 설정을 우회하여 프로젝트의 환경 세부정보에 접근할 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N, 4.3). 이제 최신 릴리즈에서 완화되었으며 CVE-2023-4895 가 할당되었습니다.

`Guest` 역할을 가진 사용자는 피해자 그룹의 프로젝트의 `Custom dashboard projects` 설정을 변경할 수 있습니다.

16.4 이전 16.7.6부터 시작하는 모든 버전, 16.8 이전 16.8.3부터 시작하는 모든 버전, 16.9.1 이전 16.9부터 시작하는 모든 버전에 영향을 미치는 문제가 GitLab EE에서 발견되었습니다. Guest역할이 있는 사용자는 권한에 반하여 Custom dashboard projects 의 설정을 변경할 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N, 4.3). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-0861 이 할당되었습니다 .

sub-maintainer 역할을 가진 그룹 구성원은 공유 개인 배포 키의 제목을 변경할 수 있습니다.

16.7.6 이전의 모든 버전, 16.8.3 이전의 16.8에서 시작하는 모든 버전, 16.9.1 이전의 16.9에서 시작하는 모든 버전에 영향을 미치는 문제가 GitLab에서 발견되었습니다. sub-maintainer 역할을 가진 그룹 구성원은 그룹 내 프로젝트와 연관된 비공개로 액세스 가능한 배포 키의 제목을 변경할 수 있었습니다. 이는 심각도가 낮은 문제입니다( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N, 3.7). 이제 최신 릴리즈에서 완화되었으며 CVE-2023-3509 가 할당되었습니다 .

CodeOwner의 승인 우회

16.7.6 이전 버전 15.1, 16.8.3 이전 16.8, 16.9.1 이전 버전 16.9에 영향을 미치는 인증 우회 취약점이 GitLab에서 발견되었습니다. 개발자는 Merge 충돌을 발생시켜 CODEOWNERS 승인을 우회할 수 있습니다. 이는 심각도가 낮은 문제입니다( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:N/I:L/A:N, 3.0). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-0410 이 할당되었습니다.

추가 보완된 기능

마크다운 캐시를 무효화하여 저장된 XSS를 정리합니다.

16.9.1

16.8.3

16.7.6

원문 바로가기

업그레이드 페이지 바로가기

인포그랩에 업그레이드 문의하기