GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 GitLab 중요 보안 릴리즈: 17.1.1, 17.0.3, 16.11.5에 대해 자세히 알아보세요. 오늘 우리는 GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 버전 17.1.1, 17.0.3, 16.11.5를 출시합니다.

이 버전에는 중요한 버그 및 보안 수정 사항이 포함되어 있으므로 모든 GitLab 설치를 즉시 이러한 버전 중 하나로 업그레이드하는 것이 좋습니다. GitLab.com은 이미 패치 버전을 실행하고 있습니다.

GitLab 패치 릴리즈는 취약점에 대한 수정 사항을 릴리즈합니다. 패치 릴리즈에는 예정된 릴리즈와 심각도가 높은 취약점에 대한 임시 중요 패치라는 두 가지 유형이 있습니다. 예정 출시일은 한 달에 두 번 둘째, 넷째 수요일에 출시됩니다. 자세한 내용은 릴리스 핸드북 및 보안 FAQ를 참조하세요 . 여기에서 모든 GitLab 릴리즈 블로그 게시물을 볼 수 있습니다. 보안 수정의 경우, 각 취약점을 자세히 설명하는 문제는 패치가 적용된 릴리즈로부터 30일 후에 문제 추적기에 공개됩니다 .

우리는 고객에게 노출되거나 호스트 고객 데이터가 가장 높은 보안 표준을 유지하는 GitLab의 모든 측면을 보장하기 위해 최선을 다하고 있습니다. 우수한 보안 수준을 유지하는 일환으로 모든 고객은 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것이 좋습니다. 블로그 게시물에서 GitLab 인스턴스 보안에 대한 더 많은 모범 사례를 읽을 수 있습니다 .

권장 조치

아래 버전에 해당된다면 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다 .

제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는다는 의미입니다.

보안 조치 사항

모든 사용자로 파이프라인 실행

GitLab CE/EE 15.8 이전 16.11.5, 17.0 이전 17.0.3, 17.1 이전 17.1.1의 모든 버전에 영향을 미치는 문제가 발견되었습니다. 이로 인해 공격자가 특정 상황에서 다른 사용자로 파이프라인을 트리거할 수 있습니다. 이는 Critical 심각도의 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N, 9.6). 이제 최신 릴리즈에서 해결되었으며 CVE-2024-5655가 할당되었습니다.

주요 변경 사항은 다음과 같습니다.

  • 본 수정사항은 이전 대상 Branch가 Merge되어 Merge Request가 자동으로 대상이 변경될 때 파이프라인이 자동으로 실행되지 않도록 MR 대상 변경 워크플로가 변경됩니다.
  • 변경에대해 CI를 실행하려면 사용자가 수동으로 파이프라인을 시작해야 합니다.
  • CI_JOB_TOKEN을 사용한 GraphQL 인증은 17.0.0 부터 기본적으로 비활성화되어 있으며, 현재 보안 릴리즈에서는 17.0.3, 16.11.5로 백포트 되었습니다. GraphQL API 액세스가 필요한 경우, 인증을 위해 지원되는 토큰 유형 중 하나를 구성해야 합니다.
  • 현재 GitLab.com, GitLab Dedicated 인스턴스를 포함, GitLab 관리 플랫폼에서 해당 취약점에 대한 남용에 대해 확인되지는 않았습니다.

임포트한 프로젝트의 커밋 노트에 저장된 XSS 삽입

GitLab CE/EE 16.11.5 이전 16.9, 17.0.3 이전 17.0, 17.1.1 이전 17.1부터 모든 버전에 영향을 미치는 문제가 발견되었습니다. 저장된 XSS 취약점을 악의적인 커밋 노트가 있는 프로젝트를 임포트했을 때 가져올 수 있습니다 . 이는 심각도가 높은 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N, 8.7). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-4901 이 할당되었습니다 .

GraphQL API의 CSRF IntrospectionQuery

16.1.0 이전 16.11.5의 모든 버전, 17.0 이전 17.0.3부터 시작하는 모든 버전, 17.1.0 이전 17.1.1부터 시작하는 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 이 문제는 임의의 GraphQL 변형을 실행하는 GitLab의 GraphQL API입니다. 이는 심각도가 높은 문제입니다( CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N, 8.1). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-4994 가 할당되었습니다.

승인되지 않은 저장소가 있는 공개 프로젝트에서 검색 결과 제거

GitLab EE의 16.11.5 이전의 16.11, 17.0.3 이전의 17.1, 17.1.1 이전의 17.1의 모든 버전에 영향을 미치는 문제가 발견 되었습니다. 이 문제는 전역 검색에 대한 부적절한 인증으로 인해 공격자가 공개 프로젝트의 개인 저장소 콘텐츠를 유출할 수 있습니다. 이는 심각도가 높은 문제입니다( CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N, 7.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-6323 이 할당되었습니다.

사용자 애플리케이션 OAuth 흐름의 교차 창 위조

GitLab CE/EE의 16.11.5 이전의 16.3, 17.0.3 이전의 17.0, 17.1.1 이전의 17.1의 모든 버전에 영향을 미치는 교차 창 위조 취약성이 발견되었습니다. 이 조건을 사용하면 공격자가 조작된 페이로드를 통해 OAuth 인증 흐름을 남용할 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N, 6.8). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-2177 이 할당되었습니다.

프로젝트 메인테이너의 그룹 Merge Request Approval 정책의 우회

GitLab CE/EE의 16.10 이전 16.11.5, 17.0 이전 17.0.3, 17.1 이전 17.1.1의 모든 버전에 영향을 미치는 문제가 발견되었습니다. GraphQL을 통해 프로젝트 메인테이너가 Merge Request Approval 정책을 삭제할 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N, 6.8). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-5430 이 할당되었습니다.

맞춤형 마크다운 페이지를 통한 ReDoS

GitLab CE/EE의 16.11.5 이전 7.10, 17.0.3 이전 버전 17.0, 17.1.1 이전 17.1의 모든 버전에 영향을 미치는 서비스 거부(DoS) 조건이 발견되었습니다. 공격자가 조작된 마크다운 페이지를 사용하여 서비스 거부를 유발할 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-4025 가 할당되었습니다.

Private Job 아티팩트를 모든 사용자가 액세스 할 수 있음

GitLab CE/EE의 16.7 이전 16.11.5, 17.0 이전 17.0.3, 17.1 이전 17.1.1의 모든 버전에 영향을 미치는 문제가 에서 발견되었습니다. 이는 모든 사용자가 Private Job 아티팩트에 액세스 할 수 있도록 허용합니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N, 6.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-3959 가 할당되었습니다.

Banzai 파이프라인 보안 수정

GitLab CE/EE의 16.11.5 이전 1.0, 17.0.3 이전 17.0, 17.1.1 이전 17.1부터 모든 버전에 영향을 미치는 다중 서비스 거부(DoS) 문제가 발견되었습니다. 공격자는 Banzai 파이프라인을 통해 리소스 고갈을 유발할 수 있었습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-4557 이 할당되었습니다.

종속성 링커의 ReDoS

GitLab CE/EE에서 16.11.5 이전 9.2, 17.0.3 이전 17.0, 17.1.1 이전 17.1부터 모든 버전에 영향을 미치는 ReDoS 문제가 발견되었습니다. 종속성 파일에서 링크를 생성하기 위한 프로세싱 로직을 사용하면 서버에 정규식 DoS 공격이 발생할 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-1493 이 할당되었습니다.

조작된 OpenAPI 파일을 사용한 서비스 거부

GitLab CE/EE의 12.0 이전 16.11.5, 17.0 이전 17.0.3, 17.1 이전 17.1.1부터 모든 버전에 영향을 미치는 문제가 발견되었습니다. 이는 공격자가 조작된 OpenAPI파일을 사용하여 서비스 거부를 유발할 수 있었습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H, 5.3). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-1816 이 할당되었습니다.

Merge Request 제목 공개

GitLab CE/EE의 16.9 이전 16.11.5, 17.0 이전 17.0.3, 17.1 이전 17.1.1부터 모든 버전에 영향을 미치는 문제가 발견되었습니다. 이 문제는 프로젝트 멤버 공개로만 설정되었음에도 불구하고 Merge Request의 제목이 공개적으로 표시 되도록 허용합니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N, 5.3). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-2191 이 할당되었습니다.

SSO 세션 없이 이슈 및 에픽에 액세스

16.11.5 이전 16.0, 17.0.3 이전 17.0, 17.1.1 이전 17.1부터 모든 버전에 영향을 미치는 문제가 GitLab EE에서 발견되었습니다. 이는 Duo Chat을 사용하여 공격자가 SSO 세션 없이 이슈와 에픽을 액세스 할 수 있는 문제로, 심각도가 중간인 문제입니다.( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N, 4.3). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-3115 가 할당되었습니다.

프로젝트 멤버가 아닌 사람 Key Result를 목표(Objectives)로 승격할 수 있음

GitLab CE/EE의 16.11.5 이전의 16.1부터, 17.0.3 이전의 17.0부터, 17.1.1 이전의 17.1부터 시작하는 모든 버전에 영향을 미치는 문제가 발견되었습니다. 이는 프로젝트 구성원이 아닌 사람이 Key Result를 목표(Objectives)로 승격시킬 수 있는 문제로, 심각도가 낮은 문제입니다(CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N ,3.1). 현재 최신 릴리즈에서 완화되었으며 CVE-2024-4011이 할당되었습니다.

추가 보완 및 버그/수정 기능

17.1.1

17.0.3

16.11.5

16.10.8, 16.9.9, 16.8.8, 16.6.8

원문 바로가기

업그레이드 페이지 바로가기

인포그랩은 GitLab과 DevOps를 맞춤형으로 기술 지원합니다. GitLab(Omnibus/Cloud Native Hybrid) 구축, GitLab 업그레이드, 마이그레이션 등의 DevOps와 GitLab에 대한 지원이 필요하시면 문의하기로 연락해 주십시오.