GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 GitLab 중요 보안 릴리즈: 16.10.2, 16.9.4, 16.8.6에 대해 자세히 알아보세요. 오늘 우리는 GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 버전 16.10.2, 16.9.4, 16.8.6을 출시합니다.
이 버전에는 중요한 보안 수정 사항이 포함되어 있으므로 모든 GitLab 설치를 즉시 이 버전 중 하나로 업그레이드하는 것이 좋습니다. GitLab.com은 이미 패치 버전을 실행하고 있습니다.
GitLab은 전용 패치 릴리스의 취약점에 대한 수정 사항을 릴리즈합니다. 패치 릴리즈에는 예정된 릴리즈와 심각도가 높은 취약점에 대한 임시 중요 패치라는 두 가지 유형이 있습니다. 예정 출시일은 한 달에 두 번 둘째, 넷째 수요일에 출시됩니다. 자세한 내용은 릴리스 핸드북 및 보안 FAQ를 참조하세요 . 여기에서 모든 GitLab 릴리스 블로그 게시물을 볼 수 있습니다 .
보안 수정의 경우, 각 취약점을 자세히 설명하는 문제는 패치가 적용된 릴리스로부터 30일 후에 문제 추적기 에 공개됩니다 .
우리는 고객에게 노출되거나 호스트 고객 데이터가 가장 높은 보안 표준을 유지하는 GitLab의 모든 측면을 보장하기 위해 최선을 다하고 있습니다. 우수한 보안 위생을 유지하는 일환으로 모든 고객은 지원되는 버전에 맞는 최신 보안 릴리즈로 업그레이드하는 것이 좋습니다. 블로그 게시물에서 GitLab 인스턴스 보안에 대한 더 많은 모범 사례를 읽을 수 있습니다.
권장 조치
아래 버전에 해당된다면 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다 .
제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는다는 의미입니다.
보안 조치 사항
diff 뷰어에 저장된 XSS 삽입
16.9.4 이전의 16.9부터 시작하는 모든 버전, 16.10.2 이전의 16.10부터 시작하는 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 페이로드는 diff 뷰어를 사용하는 동안 저장된 XSS로 이어질 수 있으며, 이로 인해 공격자가 피해자를 대신하여 임의의 작업을 수행할 수 있습니다. 이는 심각도가 높은 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
, 8.7). 이제 최신 릴리에서 완화되었으며 CVE-2024-3092 가 할당되었습니다 .
자동 완성 결과를 통해 저장된 XSS
16.7부터 16.8.6까지의 모든 버전, 16.9.4 이전의 16.9부터 시작하는 모든 버전, 16.10.2 이전의 16.10부터 시작하는 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 문제 참조 기능에 대한 자동 완성을 사용하면 조작된 페이로드로 인해 XSS가 저장될 수 있으며, 이로 인해 공격자가 피해자를 대신하여 임의의 작업을 수행할 수 있습니다. 이는 심각도가 높은 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
, 8.7). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-2279 가 할당되었습니다.
통합 채팅 메시지 재실행
GitLab CE/EE 버전 16.8.6 이전 16.7.7, 16.9.4 이전 16.9, 16.10.2 이전 16.10에서 서비스 거부 취약성이 확인되었습니다. 이는 공격자가 채팅 통합 기능을 통해 GitLab 인스턴스 리소스 사용량을 급증시켜 서비스 성능 저하를 발생시킬 수 있습니다. 이는 심각도가 중간인 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
, 4.3). 이제 최신 릴리즈에서 완화되었으며 CVE-2023-6489 가 할당되었습니다 .
Junit 테스트 보고서 구문 분석 중 ReDoS
16.8.6 이전의 모든 버전, 16.9.4 이전의 16.9에서 시작하는 모든 버전, 16.10.2 이전의 16.10에서 시작하는 모든 버전에 영향을 미치는 문제가 GitLab EE에서 발견되었습니다. 공격자가 junit 테스트 보고서 파일에서 악의적으로 제작된 콘텐츠를 사용하여 서비스 거부를 유발하는 것이 가능했습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
, 4.3). 이제 최신 릴리즈에서 완화되었으며 CVE-2023-6678 이 할당되었습니다.
추가 보완된 기능
16.10.2
- 불안정한 원자 처리 ResetSkippedJobsService 사양 격리
- 16.10으로 마이그레이션하는 동안 include_ional_metrics_in_service_ping 수정
- CI 이미지에서 alpine:edge 대신 alpine:latest 사용 [16.10]
- [16.10] 백포트 삭제 콜백은 네임스페이스_id를 사용해야 합니다.
- [16.10] 백포트는 프로젝트 인덱싱 시 null 소유자를 처리합니다.
- Backport Zoekt: 16.10에 대한 요청이 너무 많으면 인덱싱을 다시 시도합니다.
- 백포트 https://gitlab.com/gitlab-org/gitlab/-/merge_requests/148596
- localhost를 사용할 때 미러 서비스에 대한 URL 유효성 검사기 수정
- !148105를 16.10으로 백포트
- 'fix-omnibus-gitconfig-deprecation'을 '16-10-stable'로 선택