GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 GitLab 중요 보안 릴리즈: 16.11.1, 16.10.4, 16.9.6에 대해 자세히 알아보세요. 오늘 우리는 GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 버전 16.11.1, 16.10.4, 16.9.6을 출시합니다.
이 버전에는 중요한 보안 수정 사항이 포함되어 있으므로 모든 GitLab 설치를 즉시 이 버전 중 하나로 업그레이드하는 것이 좋습니다. GitLab.com은 이미 패치 버전을 실행하고 있습니다. GitLab은 전용 보안 릴리스의 취약점에 대한 패치를 릴리즈합니다. 보안 릴리즈에는 두 가지 유형이 있습니다. 즉, 기능 릴리즈(매월 3번째 목요일에 배포) 일주일 후에 릴리즈되는 월별 예약 보안 릴리즈와 중요한 취약점에 대한 임시 보안 릴리즈입니다. 자세한 내용은 보안 FAQ를 참조하세요 . 여기에서 정규 및 보안 릴리즈 블로그 게시물을 모두 볼 수 있습니다. 또한, 각 취약점을 자세히 설명하는 문제는 패치가 적용된 릴리즈로부터 30일 후에 문제 추적기에 공개됩니다.
우리는 고객에게 노출되거나 호스트 고객 데이터가 가장 높은 보안 표준을 유지하는 GitLab의 모든 측면을 보장하기 위해 최선을 다하고 있습니다. 우수한 보안 위생을 유지하는 일환으로 모든 고객은 지원되는 버전에 맞는 최신 보안 릴리즈로 업그레이드하는 것이 좋습니다. 블로그 게시물에서 GitLab 인스턴스 보안에 대한 더 많은 모범 사례를 읽을 수 있습니다.
권장 조치
아래 버전에 해당된다면 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다 .
제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는다는 의미입니다.
보안 조치 사항
Bitbucket을 OAuth 공급자로 사용할 때 특정 조건에서 GitLab 계정 인수
7.8 이전 16.9.6부터 시작하는 모든 버전, 16.10 이전 16.10.4부터 시작하는 모든 버전, 16.11 이전 16.11.1부터 시작하는 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. Bitbucket이 GitLab에서 OAuth 2.0 공급자로 사용되는 경우 특정 조건에서 Bitbucket 계정 자격 증명을 가진 공격자가 다른 사용자의 Bitbucket 계정에 연결된 GitLab 계정을 탈취할 수 있습니다. 이는 심각도가 높은 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N
, 7.3). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-4024 가 할당되었습니다.
Bitbucket 인증 작동 방식 변경에 따른 안내
2024년 4월 24일에 GitLab은 GitLab에서 Bitbucket 인증이 작동하는 방식을 변경했습니다. Bitbucket 인증을 계속 사용하려면 2024년 5월 16일 이전에 Bitbucket 계정 자격 증명으로 GitLab에 로그인하세요.
2024년 5월 16일 이후까지 Bitbucket 계정을 사용하여 GitLab에 로그인하지 않으면 Bitbucket 계정을 GitLab 계정에 수동으로 다시 연결해야 합니다. 일부 사용자의 경우 이 수정 사항을 적용한 후 Bitbucket 계정을 사용하여 GitLab에 로그인하지 못할 수 있습니다. 이런 경우 Bitbucket과 GitLab 계정의 이메일 주소가 다른 문제로, 이 문제를 해결하려면 GitLab 사용자 이름과 비밀번호를 사용하여 GitLab 계정에 로그인하고 Bitbucket 계정을 다시 연결해야 합니다 .
경로(Path) 탐색으로 인한 Dos 및 제한된 파일 읽기 발생
16.9.6 이전의 GitLab CE/EE 16.9, 16.10.4 이전의 16.10, 16.11.1 이전의 16.11의 모든 버전에 영향을 미치는 문제가 GitLab에서 발견되었습니다. 여기서 경로 탐색으로 인해 DoS가 발생하고 파일 읽기가 제한될 수 있습니다. 이는 심각도가 높은 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:H
, 8.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-2434 가 할당되었습니다.
프로젝트 파일 검색에서 와일드카드 필터를 사용할 때 FileFinder에서 인증되지 않은 ReDoS가 발생합니다.
12.5 이전 16.9.6부터 시작하는 모든 버전, 16.10 이전 16.10.4부터 시작하는 모든 버전, 16.11 이전 16.11.1부터 시작하는 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. FileFinder에서 조작된 와일드카드 필터로 인해 서비스 거부가 발생할 수 있습니다. 이는 심각도가 높은 문제입니다( CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
, 7.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-2829 가 할당되었습니다.
GraphQL 구독에서 개인 액세스 토큰 범위를 준수하지 않습니다.
GitLab CE/EE에서 16.9.6 이전 16.7부터 시작하는 모든 버전, 16.10.4 이전 16.10부터 시작하는 모든 버전, 16.11 이전 16.11.1부터 시작하는 모든 버전에 영향을 미치는 문제가 발견되었습니다. 여기서 GraphQL 구독은 개인 액세스 범위를 따르지 않습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
, 4.3). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-4006 이 할당되었습니다.
조작된 이메일 주소를 사용하여 도메인 기반의 제한 우회
16.9.6 이전의 모든 버전, 16.10.4 이전의 16.10부터 시작하는 모든 버전, 16.11.1 이전의 16.11부터 시작하는 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 특정 조건에서 공격자는 조작된 이메일 주소를 통해 인스턴스나 그룹에 대한 도메인 기반 제한을 우회할 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
, 4.3). 이제 최신 릴리스에서 완화되었으며 CVE-2024-1347 이 할당되었습니다.
추가 보완된 기능
16.11.1
- 릴리스 환경 파이프라인 트리거 규칙을 16.11로 백포트 수정
- Branch_build_package_download_url 누락 문제 수정
- PostgreSQL 업그레이드 시간 초과 시 누락된 인수 수정
16.10.4
- go.mod:
golang.org/x/net
종속성 업데이트 - 수집 파이프라인에서 Vulnerability_reads 스캐너 업데이트
- GitLab 16.x에서 16.10으로 업데이트할 때 마이그레이션 오류 수정
- 릴리스 환경 파이프라인 트리거 규칙을 16.10으로 백포트 수정
16.9.6
인포그랩은 GitLab과 DevOps를 맞춤형으로 기술 지원합니다. GitLab(Omnibus/Cloud Native Hybrid) 구축, GitLab 업그레이드, 마이그레이션 등의 DevOps와 GitLab에 대한 지원이 필요하시면 문의하기로 연락해 주십시오.