GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 GitLab 중요 보안 릴리즈: 17.0.1, 16.11.3, 16.10.6에 대해 자세히 알아보세요. 오늘 우리는 GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 버전 17.0.1, 16.11.3, 16.10.6을 출시합니다.
이 버전에는 중요한 버그 및 보안 수정 사항이 포함되어 있으므로 모든 GitLab 설치를 즉시 이러한 버전 중 하나로 업그레이드하는 것이 좋습니다. GitLab.com은 이미 패치 버전을 실행하고 있습니다.
GitLab 패치 릴리즈는 취약점에 대한 수정 사항을 릴리즈합니다. 패치 릴리즈에는 예정된 릴리즈와 심각도가 높은 취약점에 대한 임시 중요 패치라는 두 가지 유형이 있습니다. 예정 출시일은 한 달에 두 번 둘째, 넷째 수요일에 출시됩니다. 자세한 내용은 릴리스 핸드북 및 보안 FAQ를 참조하세요 . 여기에서 모든 GitLab 릴리즈 블로그 게시물을 볼 수 있습니다. 보안 수정의 경우, 각 취약점을 자세히 설명하는 문제는 패치가 적용된 릴리즈로부터 30일 후에 문제 추적기에 공개됩니다 .
우리는 고객에게 노출되거나 호스트 고객 데이터가 가장 높은 보안 표준을 유지하는 GitLab의 모든 측면을 보장하기 위해 최선을 다하고 있습니다. 우수한 보안 수준을 유지하는 일환으로 모든 고객은 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것이 좋습니다. 블로그 게시물에서 GitLab 인스턴스 보안에 대한 더 많은 모범 사례를 읽을 수 있습니다 .
권장 조치
아래 버전에 해당된다면 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다 .
제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는다는 의미입니다.
보안 조치 사항
gitlab.com의 코드 편집기에서 XSS를 통한 원클릭 계정 인수
XSS 조건은 15.11 ~ 16.10.6, 16.11 ~ 16.11.3, 17.0 ~ 17.0.1의 GitLab에서 발생됩니다. 공격자는 이 조건을 활용하여 민감한 사용자 정보를 유출하는 악성 페이지를 제작할 수 있습니다. 이는 심각도가 높은 문제입니다( CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N
, 8.0). 이 제 최신 릴리즈에서 완화되었으며 CVE-2024-4835 가 할당되었습니다 .
Runner 내 ‘Description’ 필드의 DOS 취약점
16.10.6, 16.11 ~ 16.11.3, 17.0 ~ 17.0.1의 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 조작된 설명으로 등록된 Runner는 대상 GitLab 웹 리소스의 로드를 방해할 가능성이 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
, 6.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-2874가 할당되었습니다.
K8S 클러스터 통합을 통한 CSRF
16.3 ~ 16.10.6, 16.11 ~ 16.11.3, 17.0 ~ 17.0.1 버전의 GitLab CE/EE 내에 CSRF 취약점이 발견되었습니다. 공격자는 이 취약점을 활용하여 KAS(Kubernetes Agent Server)를 통해 CSRF 방지 토큰을 유출할 수 있습니다. 이는 심각도가 중간인 문제입니다( AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
, 5.4). 이제 최신 릴리스에서 완화되었으며 CVE-2023-7045가 할당되었습니다.
커밋 API의 파이프라인 상태 설정을 사용하면 SHA와 파이프라인_id가 일치하지 않을 때 새 파이프라인이 잘못 생성됨
인증된 공격자가 조작된 명명 규칙을 활용하여 파이프라인 인증 논리를 우회할 수 있는 인증 취약점이 GitLab 16.10 ~ 16.10.6, 16.11 ~ 16.11.3, 17.0 ~ 17.0.1 버전에서 발견되었습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N
, 4.4). CVE ID를 요청했으며 할당되면 이 블로그 게시물을 업데이트할 예정입니다.
Wiki 렌더링 API/페이지의 재실행
16.10.6 이전의 모든 버전, 16.11.3 이전의 16.11, 17.0.1 이전의 17.0에 영향을 미치는 서비스 거부(DoS) 조건이 GitLab CE/EE에서 발견되었습니다. 공격자가 조작된 위키 페이지를 사용하여 서비스 거부를 유발하는 것이 가능합니다. 이는 심각도가 중간인 문제입니다.( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
, 4.3)이제 최신 릴리즈에서 완화되었으며 CVE-2023-6502 가 할당되었습니다.
test_report API 호출을 통한 리소스 고갈 및 서비스 거부
GitLab CE/EE의 13.2.4 ~ 16.10.6, 16.11 ~ 16.11.3, 17.0 ~ 17.0.1의 모든 버전에 영향을 미치는 서비스 거부(DoS) 조건이 발견되었습니다. 공격자는 이 취약점을 활용하여 조작된 API 호출을 보내 DoS 조건을 만들 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
, 4.3). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-1947 이 할당되었습니다.
게스트 사용자는 작업 아티팩트를 통해 개인 프로젝트의 종속성 목록을 볼 수 있습니다.
11.11 이전 16.10.6, 16.11 이전 16.11.3, 17.0 이전 17.0.1부터 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 게스트 사용자는 작업 아티팩트를 통해 개인 프로젝트의 종속성 목록을 볼 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
, 4.3). CVE ID를 요청했으며 할당되면 이 블로그 게시물을 업데이트할 예정입니다.
PDFjs를 통해 저장된 XSS
PDF.js CVE-2024-4367 의 취약성을 해결하기 위한 완화 조치가 이루어졌습니다.
2024년 4월 25일 Mattermost 보안 업데이트
여러 패치와 보안 수정 사항이 포함된 Mattermost 버전 9.7.2로 업데이트되었습니다.
추가 보완 및 버그/수정 기능
17.0.1
- Makefile: Git 버전 업데이트(v17.0 백포트)
- 분기 'rymai-master-patch-5345'를 'master'로 병합
- 기본 작업 항목 유형이 유효하지 않은 경우 너무 큰 소리로 실패하지 마세요.
- [17.0 백포트] ES 인덱싱을 위한 프로젝트 전송 수정
- ReadTimeoutError를 발생시키는 대신 BLPOP/BRPOP이 nil을 반환하는지 확인하세요.
- [17-0] Sidekiq 마이그레이션 시간 초과 수정
16.11.3
- Makefile: Git 버전 업데이트(v16.11 백포트)
- bitbucket_server_convert_mentions_to_users FF 제거 되돌리기
- Cherry pick print-out-release-environment-variables를 16.11로 변경
- [16-11] Sidekiq 마이그레이션 시간 초과 수정
- 분기 'rymai-master-patch-5345'를 'master'로 병합
- ReadTimeoutError를 발생시키는 대신 BLPOP/BRPOP이 nil을 반환하는지 확인하세요.
- 초안: 16.11.0에 대한 변경 로그 업데이트
- BACKPORT-16-11-stable: 번들러를 사용하여 Omnibus gem 설치
16.10.6
- Makefile: Git 버전 업데이트(v16.10 백포트)
- "bitbucket_server_convert_mentions_to_users 기능 플래그 제거"를 되돌립니다.
- Cherry pick print-out-release-environment-variables를 16.10으로 변경
- 분기 'rymai-master-patch-5345'를 'master'로 병합
- ReadTimeoutError를 발생시키는 대신 BLPOP/BRPOP이 nil을 반환하는지 확인하세요.
- BACKPORT-16-10-stable: 번들러를 사용하여 Omnibus gem 설치
인포그랩은 GitLab과 DevOps를 맞춤형으로 기술 지원합니다. GitLab(Omnibus/Cloud Native Hybrid) 구축, GitLab 업그레이드, 마이그레이션 등의 DevOps와 GitLab에 대한 지원이 필요하시면 문의하기로 연락해 주십시오.