GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 GitLab 중요 보안 릴리즈: 17.0.2, 16.11.4, 16.10.7에 대해 자세히 알아보세요. 오늘 우리는 GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 버전 17.0.2, 16.11.4, 16.10.7을 출시합니다.
이 버전에는 중요한 버그 및 보안 수정 사항이 포함되어 있으므로 모든 GitLab 설치를 즉시 이러한 버전 중 하나로 업그레이드하는 것이 좋습니다. GitLab.com은 이미 패치 버전을 실행하고 있습니다.
GitLab 패치 릴리즈는 취약점에 대한 수정 사항을 릴리즈합니다. 패치 릴리즈에는 예정된 릴리즈와 심각도가 높은 취약점에 대한 임시 중요 패치라는 두 가지 유형이 있습니다. 예정 출시일은 한 달에 두 번 둘째, 넷째 수요일에 출시됩니다. 자세한 내용은 릴리스 핸드북 및 보안 FAQ를 참조하세요 . 여기에서 모든 GitLab 릴리즈 블로그 게시물을 볼 수 있습니다. 보안 수정의 경우, 각 취약점을 자세히 설명하는 문제는 패치가 적용된 릴리즈로부터 30일 후에 문제 추적기에 공개됩니다 .
우리는 고객에게 노출되거나 호스트 고객 데이터가 가장 높은 보안 표준을 유지하는 GitLab의 모든 측면을 보장하기 위해 최선을 다하고 있습니다. 우수한 보안 수준을 유지하는 일환으로 모든 고객은 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것이 좋습니다. 블로그 게시물에서 GitLab 인스턴스 보안에 대한 더 많은 모범 사례를 읽을 수 있습니다.
권장 조치
아래 버전에 해당된다면 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다 .
제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는다는 의미입니다.
보안 조치 사항
gomod 종속성 Linker의 ReDos
13.1 이전 16.10.7, 16.11 이전 16.11.4, 17.0 이전 17.0.2부터 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 공격자가 악의적으로 제작된 파일을 사용하여 서비스 거부를 유발하는 것이 가능했습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
, 6.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-1495 가 할당되었습니다.
수정을 우회한 CI Interpolation ReDos
16.11.4 이전 16.11부터 17.0.2 이전 17.0부터 16.10.7 이전의 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. GitLab CI/CD 파이프라인 편집기의 취약점으로 인해 악의적으로 제작된 구성 파일을 통한 서비스 거부 공격이 허용될 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
, 6.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-1736 이 할당되었습니다.
웹 후크 호출 시 Asana의 통합 이슈 매핑 ReDos
16.10.7 이전 8.4, 16.11.4 이전 16.11, 17.0.2 이전 17.0부터 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. GitLab Asana 통합의 취약점으로 인해 공격자는 특수 제작된 요청을 보내 정규식 서비스 거부를 일으킬 가능성이 있었습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
, 6.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-1963 이 할당되었습니다.
IOS 장치에서 XHTML 파일을 조회할 때 XSS 콘텐츠 인젝션
5.1 이전 16.10.7부터 시작하는 모든 버전, 16.11 이전 16.11.4부터 시작하는 모든 버전, 17.0 이전 17.0.2부터 시작하는 모든 버전에 영향을 미치는 교차 사이트 스크립팅 문제가 GitLab에서 발견되었습니다. 저장소의 XML 파일을 XHTML 모드로 볼 때 특정 상황에서 보면 HTML로 랜더링되도록 만들 수 있습니다. 이는 심각도가 높은 문제입니다( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N
, 4.4). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-4201 이 할당되었습니다.
에이전트 요청 검증 누락시 KAS 패닉 발생 가능
16.10.6 이전의 16.10.0 및 16.11.3 이전의 16.11.0의 모든 버전에 영향을 미치는 GitLab CE/EE의 KAS에 대한 DoS는 공격자가 조작 된 gRPC 요청을 통해 KAS를 중단시킬 수 있습니다. 이는 심각도가 낮은 문제입니다( CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:L
, 3.1). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-5469 가 할당되었습니다.
추가 보완 및 버그/수정 기능
17.0.2
- Makefile: Git 버전 업데이트(v17.0 백포트)
- VERSION 파일 업데이트
- Docs: 백포트 전용 AI 업데이트
- 17-0-stable-ee의 실패한 사양 수정
- LfsDownloadObject에 헤더 포함
- [17.0] Ubuntu 18.04 지원 중단
16.11.4
- Makefile: Git 버전 업데이트(v16.11 백포트)
- 'run-release-environment-for-tag-commits'를 16.11로 백포트
- 전용 AI 업데이트
- Foss처럼 속도를 높이는 Rubocop
- GitHub 가져오기를 위해 LfsDownloadObject에 헤더 포함
- 16-11-stable에서 실패한 사양 수정
- 16.11에서 Geo 보조 항목에 고아 페이지 배포 중지
16.10.7
- Makefile: Git 버전 업데이트(v16.10 백포트)
- 'run-release-environment-for-tag-commits'를 16.10으로 백포트
- 16-10-stable-ee에서 실패한 사양 수정
- 16.10에서 Geo 보조 항목에 고아 페이지 배포 중지
인포그랩은 GitLab과 DevOps를 맞춤형으로 기술 지원합니다. GitLab(Omnibus/Cloud Native Hybrid) 구축, GitLab 업그레이드, 마이그레이션 등의 DevOps와 GitLab에 대한 지원이 필요하시면 문의하기로 연락해 주십시오.