GitLab 주요 보안 릴리즈 16.11.2, 16.10.5, 16.9.7

GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 GitLab 중요 보안 릴리즈: 16.11.2, 16.10.5, 16.9.7에 대해 자세히 알아보세요. 오늘 우리는 GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 버전 16.11.2, 16.10.5, 16.9.7을 출시합니다.

이 버전에는 중요한 보안 수정 사항이 포함되어 있으므로 모든 GitLab 설치를 즉시 이 버전 중 하나로 업그레이드하는 것이 좋습니다. GitLab.com은 이미 패치 버전을 실행하고 있습니다. GitLab은 전용 보안 릴리스의 취약점에 대한 패치를 릴리즈합니다. 보안 릴리즈에는 두 가지 유형이 있습니다. 즉, 기능 릴리즈(매월 3번째 목요일에 배포) 일주일 후에 릴리즈되는 월별 예약 보안 릴리즈와 중요한 취약점에 대한 임시 보안 릴리즈입니다. 자세한 내용은 보안 FAQ를 참조하세요 . 여기에서 정규 및 보안 릴리즈 블로그 게시물을 모두 볼 수 있습니다. 또한, 각 취약점을 자세히 설명하는 문제는 패치가 적용된 릴리즈로부터 30일 후에 문제 추적기에 공개됩니다.

우리는 고객에게 노출되거나 호스트 고객 데이터가 가장 높은 보안 표준을 유지하는 GitLab의 모든 측면을 보장하기 위해 최선을 다하고 있습니다. 우수한 보안 위생을 유지하는 일환으로 모든 고객은 지원되는 버전에 맞는 최신 보안 릴리즈로 업그레이드하는 것이 좋습니다. 블로그 게시물에서 GitLab 인스턴스 보안에 대한 더 많은 모범 사례를 읽을 수 있습니다.

권장 조치

아래 버전에 해당된다면 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다 .

제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는다는 의미입니다.

보안 조치 사항

와일드카드 사용 시 분기 검색의 ReDoS

15.7 이전 16.9.7, 16.10 이전 16.10.5, 16.11 이전 16.11.2부터 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 공격자가 지점 이름에 대해 특이한 검색어를 만들어 서비스 거부를 유발하는 것이 가능했습니다. 이는 심각도가 높은 문제입니다( CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H, 7.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-2878 이 할당되었습니다.

마크다운 렌더 파이프라인의 ReDoS

16.9.7 이전의 모든 버전, 16.10.5 이전의 16.10부터 시작하는 모든 버전, 16.11.2 이전의 16.11부터 시작하는 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 공격자가 악의적으로 제작된 마크다운 콘텐츠를 사용하여 서비스 거부를 유발하는 것이 가능했습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-2651 이 할당되었습니다.

Discord 통합 재실행

16.9.7 이전 16.9, 16.10.5 이전 16.10, 16.11.2 이전 16.11부터 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. Discord 통합 채팅 메시지의 처리 논리에 문제가 있으면 서버에 대한 정규식 DoS 공격이 발생할 수 있습니다. 이는 심각도가 중간인 문제입니다.(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5) 이제 최신 릴리즈에서 완화되었으며 CVE-2023-6682 가 할당되었습니다.

Google Chat 통합의 ReDoS

16.11.2 이전의 16.11부터 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. Google 채팅 메시지 통합을 위한 처리 논리 문제로 인해 서버에 대한 정규식 DoS 공격이 발생할 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5). 이제 최신 릴리에서 완화되었으며 CVE-2023-6688 이 할당되었습니다.

핀 메뉴를 통한 서비스 거부 공격

16.9.7 이전 15.11, 16.10.5 이전 16.10, 16.11.2 이전 16.11부터 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 핀 엔드포인트는 조작된 요청을 통해 DoS에 취약합니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-2454 가 할당되었습니다.

API를 통해 태그 및 브랜치를 필터링하여 DoS를 수행합니다.

GitLab CE/EE에서 15.4 이전 16.9.7, 16.10 이전 16.10.5, 16.11 이전 16.11.2의 모든 버전에 영향을 미치는 문제가 발견되었습니다. 여기서 API를 남용하여 분기 및 태그를 필터링할 수 있습니다. 서비스 거부로 이어집니다. 이는 심각도가 중간인 문제입니다.(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L, 4.3) 이제 최신 릴리즈에서 완화되었으며 CVE-2024-4539 가 할당되었습니다.

SAML SSO에서 CSRF를 통한 MR 승인

16.7 이전 16.9.7의 모든 버전, 16.10 이전 16.10.5부터 시작하는 모든 버전, 16.11.2 이전 16.11부터 시작하는 모든 버전에 영향을 미치는 문제가 GitLab EE에서 발견되었습니다. 공격자는 활성 SAML 세션이 있는 사용자가 CSRF를 통해 MR을 승인하도록 강제할 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N, 5.7). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-4597 이 할당되었습니다.

그룹에서 금지된 사용자는 API를 통해 문제 업데이트를 읽을수 있음

15.2 이전 16.9.7, 16.10 이전 16.10.5, 16.11 이전 16.11.2부터 모든 버전에 영향을 미치는 문제가 GitLab EE에서 발견되었습니다. API를 사용하여 금지된 그룹 구성원에게 문제에 대한 업데이트를 공개하는 것이 가능했습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N, 4.3). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-1539 가 할당되었습니다.

JWT ID를 연결하기 전에 필요한 확인

GitLab CE/EE에서 10.6 이전 16.9.7, 16.10 이전 16.10.5, 16.11 이전 16.11.2의 모든 버전에 영향을 미치는 문제가 발견되었으며, 교차 사이트 요청 위조가 발생했을 수 있습니다. JWT를 OmniAuth 공급자로 사용하도록 구성된 GitLab 인스턴스에서 가능합니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N, 6.4). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-1211 이 할당되었습니다.

내보내기를 통해 공개 프로젝트의 기밀 문제 제목 및 설명 보기

14.0 이전 16.9.7, 16.10 이전 16.10.5, 16.11 이전 16.11.2부터 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 공개 프로젝트의 기밀 문제 제목과 설명을 UI를 통해 승인되지 않은 인스턴스 사용자에게 공개하는 것이 가능했습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N, 6.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-3976 이 할당되었습니다.

Github 임포터를 통한 SSRF

15.5 이전 16.9.7, 16.10 이전 16.10.5, 16.11 이전 16.11.2부터 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. GitLab은 공격자가 GitHub 저장소를 가져올 때 마크다운 이미지 값에 악성 URL을 사용하는 경우 서버측 요청 위조에 취약합니다. 이는 심각도가 낮은 문제입니다( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N, 2.6). 이제 최신 릴리즈에서 완화되었으며 CVE-2023-6195 가 할당되었습니다.

추가 보완 및 수정 기능

16.11.2

• ci: 라이센스 검색 작업 제거(16.11)
• 'Zoekt: 정확한 검색 모드 수정'을 16.11로 백포트
• GITLAB_KAS_VERSION이 SHA인 경우 Gitlab 버전을 반환하거나 표시
• 자체 관리형 인스턴스가 Duo Chat에 라이선스 시트를 요구하도록 허용
• 분기 '릴리스 환경 알림'을 '16-11-stable-ee'로 병합
• 인코딩된 문자에 대해서만 이메일 검증 변경
• 백포트 '프로젝트 선택 시 검색에서 보관된 필터 숨기기' 16.11
• MR 151750을 '16-11-stable-ee'로 선택합니다.
• Redis 노드에 Rails Sentinel 구성이 있는 경우 재구성 실패 수정

16.10.5

• ci: 라이센스 스캔 작업 제거(16.10)
• gRPC를 v1.62.1로 업그레이드
• GITLAB_KAS_VERSION이 SHA인 경우 Gitlab 버전을 반환하거나 표시
• 분기 '릴리스 환경 알림'을 '16-10-stable-ee'로 병합
• 인코딩된 문자에 대해서만 이메일 검증 변경
• MR 151750을 '16-10-stable-ee'로 선택합니다.

16.9.7

• ci: 라이센스 검색 작업 제거(16.9)
• GITLAB_KAS_VERSION이 SHA인 경우 Gitlab 버전을 반환하거나 표시
• 분기 '릴리스 환경 알림'을 '마스터'로 병합
• 인코딩된 문자에 대해서만 이메일 검증 변경
• MR 151750을 '16-9-stable-ee'로 선택합니다.

원문 바로가기

업그레이드 페이지 바로가기

인포그랩은 GitLab과 DevOps를 맞춤형으로 기술 지원합니다. GitLab(Omnibus/Cloud Native Hybrid) 구축, GitLab 업그레이드, 마이그레이션 등의 DevOps와 GitLab에 대한 지원이 필요하시면 문의하기로 연락해 주십시오.