GitLab 주요 보안 릴리즈 16.9.2,16.8.4,16.7.7
GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 GitLab 중요 보안 릴리즈: 16.9.1, 16.8.3, 16.7.6에 대해 자세히 알아보세요.
오늘 우리는 GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 버전 16.9.1, 16.8.3, 16.7.6을 출시합니다.
이 버전에는 중요한 보안 수정 사항이 포함되어 있으므로 모든 GitLab 설치를 즉시 이 버전 중 하나로 업그레이드하는 것이 좋습니다. GitLab.com은 이미 패치 버전을 실행하고 있습니다. GitLab은 전용 보안 릴리스의 취약점에 대한 패치를 릴리즈합니다. 보안 릴리즈에는 두 가지 유형이 있습니다. 즉, 기능 릴리즈(매월 3번째 목요일에 배포) 일주일 후에 릴리즈되는 월별 예약 보안 릴리즈와 중요한 취약점에 대한 임시 보안 릴리즈입니다. 자세한 내용은 보안 FAQ를 참조하세요 . 여기에서 정규 및 보안 릴리즈 블로그 게시물을 모두 볼 수 있습니다. 또한, 각 취약점을 자세히 설명하는 문제는 패치가 적용된 릴리즈로부터 30일 후에 문제 추적기에 공개됩니다.
우리는 고객에게 노출되거나 호스트 고객 데이터가 가장 높은 보안 표준을 유지하는 GitLab의 모든 측면을 보장하기 위해 최선을 다하고 있습니다. 우수한 보안 위생을 유지하는 일환으로 모든 고객은 지원되는 버전에 맞는 최신 보안 릴리즈로 업그레이드하는 것이 좋습니다. 블로그 게시물에서 GitLab 인스턴스 보안에 대한 더 많은 모범 사례를 읽을 수 있습니다.
권장 조치
아래 버전에 해당된다면 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다 .
제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는다는 의미입니다.
보안 조치 사항
보호된 변수를 도용할 수 있는 CODEOWNERS 승인 우회
16.7.7 이전 버전 11.3, 16.8.4 이전 16.7.6, 16.9.2 이전 16.8.3에 영향을 미치는 권한 우회 취약점이 GitLab에서 발견되었습니다. 공격자는 악의적인 작업을 수행하기 위해 이전 기능 브랜치에서 제작된 페이로드를 활용하여 CODEOWNERS를 우회할 수 있습니다. 이는 심각도가 높은 문제입니다( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N, 7.7). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-0199 가 할당되었습니다.
그룹 액세스 토큰 관리가 있는 게스트는 소유자 권한이 있는 그룹 액세스 토큰을 교체하여 볼 수 있습니다.
16.8.4 이전 버전 16.8 및 16.9.2 이전 버전 16.9에 영향을 미치는 권한 상승 취약점이 GitLab에서 발견되었습니다. manage_group_access_tokens사용자 지정 역할이 있는 사용자는 소유자 권한으로 그룹 액세스 토큰을 교체할 수 있었습니다 . 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N, 6.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-1299 가 할당되었습니다.
Kubectl 안정된 최신 버전으로 업그레이드
kubectl1.29.2 버전으로 업데이트되었습니다.
Mattermost 2024년 2월 14일 보안 업데이트
여러 패치 및 보안 수정사항이 포함된 Mattermost 버전 9.5로 업데이트되었습니다.
추가 보완된 기능
16.9.2
- 분기 'hm-rescue-stale-element-error-in-base'를 'master'에 병합
- 손상된 마스터 수정
- 실패한 사양에 대해 고정 날짜 사용 [16.9]
- 'pb-fix-broken-master-elastic'을 16.9로 백포트
- 백포트 수정 검색::Zoekt.index? 로직을 16.9로
- '모달에서 검색어를 두 번 이스케이프하지 마세요'를 16.9로 백포트
- 백포트 '릴리스 환경 템플릿에 추가 기능'
- 16.9로 'Blob이 아닌 범위의 분기 이름 표시'를 백포트
- 백포트: Geo - 컨테이너 저장소 체크섬 불일치 오류 수정
- 백포트 145801(저장소가 비어 있을 때 CI 린터 오류 수정)을 16.9로
- 분기 'remove-pi-os-12-release'를 'master'로 병합
16.8.4
- 16.8로 백포트: Geo 수정: 개인 조각이 동기화되지 않음
- 16.8로 백포트: 여러 PG 읽기 복제본으로 인해 실패하는 pg_dump 수정
- 손상된 16.8에 대한 업데이트 테스트
- 백포트 '릴리스 환경 템플릿에 추가 기능'
- 백포트: Geo - 컨테이너 저장소 체크섬 불일치 오류 수정
- 백포트 145801(저장소가 비어 있을 때 CI 린터 오류 수정)을 16.8로
16.7.7
Eva
Project Manager
UI/UX 서비스 기획자로 커머스·시스템 구축·운영 등 다양한 프로젝트를 경험했습니다. 사용자 관점에서 요구사항을 빠르게 정리해 정책·IA·UX 흐름처럼 실행 가능한 구조로 설계하는 데 강점이 있습니다. 기획과 커뮤니케이션, 디자인, 개발 편식없이 일하는 잡식성 업무스타일을 가지고 있습니다.
이 저자의 글 모두 보기 →관련 글
GitLab 보안 패치 릴리즈 18.10.3, 18.9.5, 18.8.9
GitLab Community Edition과 Enterprise Edition의 18.10.3, 18.9.5, 18.8.9 버전이 출시되었으며, 중요한 버그 및 보안 수정 사항이 포함되어 있습니다. 모든 사용자는 즉시 최신 버전으로 업그레이드할 것을 권장하며, GitLab.com은 이미 패치된 버전을 실행 중입니다. 보안 수정 사항에는 여러 취약점이 포함되어 있으며, 각 취약점에 대한 자세한 내용은 30일 후에 공개됩니다. 업그레이드 시 다중 노드 배포가 가능하며, 새로운 마이그레이션은 포함되어 있지 않습니다.
2026년 4월 9일
GitLab 보안 패치 릴리즈 18.10.1, 18.9.3, 18.8.7
GitLab Community Edition과 Enterprise Edition의 18.10.1, 18.9.3, 18.8.7 버전이 출시되었으며, 12건의 보안 수정 사항과 여러 버그 수정을 포함하고 있어 즉시 업그레이드가 권장됩니다. 주요 취약점으로는 Jira Connect의 부적절한 파라미터 처리, GLQL API의 CSRF 문제 등이 있으며, 각 취약점에 대한 상세 정보는 30일 후 공개됩니다. 업그레이드 시 데이터베이스 마이그레이션에 주의해야 하며, 다중 노드 인스턴스는 무중단 업그레이드가 가능합니다.
2026년 4월 2일
GitLab 보안 패치 릴리즈 18.9.2, 18.8.6, 18.7.6
GitLab 18.9.2, 18.8.6, 18.7.6 버전이 출시되었으며, 14건의 보안 수정 사항과 다수의 버그 수정이 포함되어 있어 모든 셀프 관리형 인스턴스의 즉시 업그레이드를 권장합니다. 주요 보안 취약점으로는 Markdown 플레이스홀더 XSS, GraphQL API DoS, Repository 아카이브 DoS, Protected Branches API DoS 등이 있습니다.
2026년 3월 11일