GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 GitLab 중요 보안 릴리즈: 17.1.1, 17.0.3, 16.11.5에 대해 자세히 알아보세요. 오늘 우리는 GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 버전 17.1.1, 17.0.3, 16.11.5를 출시합니다.
이 버전에는 중요한 버그 및 보안 수정 사항이 포함되어 있으므로 모든 GitLab 설치를 즉시 이러한 버전 중 하나로 업그레이드하는 것이 좋습니다. GitLab.com은 이미 패치 버전을 실행하고 있습니다.
GitLab 패치 릴리즈는 취약점에 대한 수정 사항을 릴리즈합니다. 패치 릴리즈에는 예정된 릴리즈와 심각도가 높은 취약점에 대한 임시 중요 패치라는 두 가지 유형이 있습니다. 예정 출시일은 한 달에 두 번 둘째, 넷째 수요일에 출시됩니다. 자세한 내용은 릴리스 핸드북 및 보안 FAQ를 참조하세요 . 여기에서 모든 GitLab 릴리즈 블로그 게시물을 볼 수 있습니다. 보안 수정의 경우, 각 취약점을 자세히 설명하는 문제는 패치가 적용된 릴리즈로부터 30일 후에 문제 추적기에 공개됩니다 .
우리는 고객에게 노출되거나 호스트 고객 데이터가 가장 높은 보안 표준을 유지하는 GitLab의 모든 측면을 보장하기 위해 최선을 다하고 있습니다. 우 수한 보안 수준을 유지하는 일환으로 모든 고객은 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것이 좋습니다. 블로그 게시물에서 GitLab 인스턴스 보안에 대한 더 많은 모범 사례를 읽을 수 있습니다 .
권장 조치
아래 버전에 해당된다면 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다 .
제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는다는 의미입니다.
보안 조치 사항
모든 사용자로 파이프라인 실행
GitLab CE/EE 15.8 이전 16.11.5, 17.0 이전 17.0.3, 17.1 이전 17.1.1의 모든 버전에 영향을 미치는 문제가 발견되었습니다. 이로 인해 공격자가 특정 상황에서 다른 사용자로 파이프라인을 트리거할 수 있습니다. 이는 Critical 심각도의 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N, 9.6). 이제 최신 릴리즈에서 해결되었으며 CVE-2024-5655가 할당되었습니다.
주요 변경 사항은 다음과 같습니다.
- 본 수정사항은 이전 대상 Branch가 Merge되어 Merge Request가 자동으로 대상이 변경될 때 파이프라인이 자동으로 실행되지 않도록 MR 대상 변경 워크플로가 변경됩니다.
- 변경에대해 CI를 실행하려면 사용자가 수동으로 파이프라인을 시작해야 합니다.
- CI_JOB_TOKEN을 사용한 GraphQL 인증은 17.0.0 부터 기본적으로 비활성화되어 있으며, 현재 보안 릴리즈에서는 17.0.3, 16.11.5로 백포트 되었습니다. GraphQL API 액세스가 필요한 경우, 인증을 위해 지원되는 토큰 유형 중 하나를 구성해야 합니다.
- 현재 GitLab.com, GitLab Dedicated 인스턴스를 포함, GitLab 관리 플랫폼에서 해당 취약점에 대한 남용에 대해 확인되지는 않았습니다.
임포트한 프로젝트의 커밋 노트에 저장된 XSS 삽입
GitLab CE/EE 16.11.5 이전 16.9, 17.0.3 이전 17.0, 17.1.1 이전 17.1부터 모든 버전에 영향을 미치는 문제가 발견되었습니다. 저장된 XSS 취약점을 악의적인 커밋 노트가 있는 프로젝트를 임포트했을 때 가져올 수 있습니다 . 이는 심각도가 높은 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
, 8.7). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-4901 이 할당되었습니다 .
GraphQL API의 CSRF IntrospectionQuery
16.1.0 이전 16.11.5의 모든 버전, 17.0 이전 17.0.3부터 시작하는 모든 버전, 17.1.0 이전 17.1.1부터 시작하는 모든 버전에 영향을 미치는 문제가 GitLab CE/EE에서 발견되었습니다. 이 문제는 임의의 GraphQL 변형을 실행하는 GitLab의 GraphQL API입니다. 이는 심각도가 높은 문제입니다( CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
, 8.1). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-4994 가 할당되었습니다.
승인되지 않은 저장소가 있는 공개 프로젝트에서 검색 결과 제거
GitLab EE의 16.11.5 이전의 16.11, 17.0.3 이전의 17.1, 17.1.1 이전의 17.1의 모든 버전에 영향을 미치는 문제가 발견 되었습니다. 이 문제는 전역 검색에 대한 부적절한 인증으로 인해 공격자가 공개 프로젝트의 개인 저장소 콘텐츠를 유출할 수 있습니다. 이는 심각도가 높은 문제입니다( CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
, 7.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-6323 이 할당되었습니다.
사용자 애플리케이션 OAuth 흐름의 교차 창 위조
GitLab CE/EE의 16.11.5 이전의 16.3, 17.0.3 이전의 17.0, 17.1.1 이전의 17.1의 모든 버전에 영향을 미치는 교차 창 위조 취약성이 발견되었습니다. 이 조건을 사용하면 공격자가 조작된 페이로드를 통해 OAuth 인증 흐름을 남용할 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N
, 6.8). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-2177 이 할당되었습니다.
프로젝트 메인테이너의 그룹 Merge Request Approval 정책의 우회
GitLab CE/EE의 16.10 이전 16.11.5, 17.0 이전 17.0.3, 17.1 이전 17.1.1의 모든 버전에 영향을 미치는 문제가 발견되었습니다. GraphQL을 통해 프로젝트 메인테이너가 Merge Request Approval 정책을 삭제할 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N
, 6.8). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-5430 이 할당되었습니다.
맞춤형 마크다운 페이지를 통한 ReDoS
GitLab CE/EE의 16.11.5 이전 7.10, 17.0.3 이전 버전 17.0, 17.1.1 이전 17.1의 모든 버전에 영향을 미치는 서비스 거부(DoS) 조건이 발견되었습니다. 공격자가 조작된 마크다운 페이지를 사용하여 서비스 거부를 유발할 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
, 6.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-4025 가 할당되었습니다.
Private Job 아티팩트를 모든 사용자가 액세스 할 수 있음
GitLab CE/EE의 16.7 이전 16.11.5, 17.0 이전 17.0.3, 17.1 이전 17.1.1의 모든 버전에 영향을 미치는 문제가 에서 발견되었습니다. 이는 모든 사용자가 Private Job 아티팩트에 액세스 할 수 있도록 허용합니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
, 6.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-3959 가 할당되었습니다.
Banzai 파이프라인 보안 수정
GitLab CE/EE의 16.11.5 이전 1.0, 17.0.3 이전 17.0, 17.1.1 이전 17.1부터 모든 버전에 영향을 미치는 다중 서비스 거부(DoS) 문제가 발견되었습니다. 공격자는 Banzai 파이프라인을 통해 리소스 고갈을 유발할 수 있었습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
, 6.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-4557 이 할당되었습니다.
종속성 링커의 ReDoS
GitLab CE/EE에서 16.11.5 이전 9.2, 17.0.3 이전 17.0, 17.1.1 이전 17.1부터 모든 버전에 영향을 미치는 ReDoS 문 제가 발견되었습니다. 종속성 파일에서 링크를 생성하기 위한 프로세싱 로직을 사용하면 서버에 정규식 DoS 공격이 발생할 수 있습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
, 6.5). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-1493 이 할당되었습니다.
조작된 OpenAPI 파일을 사용한 서비스 거부
GitLab CE/EE의 12.0 이전 16.11.5, 17.0 이전 17.0.3, 17.1 이전 17.1.1부터 모든 버전에 영향을 미치는 문제가 발견되었습니다. 이는 공격자가 조작된 OpenAPI파일을 사용하여 서비스 거부를 유발할 수 있었습니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H
, 5.3). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-1816 이 할당되었습니다.
Merge Request 제목 공개
GitLab CE/EE의 16.9 이전 16.11.5, 17.0 이전 17.0.3, 17.1 이전 17.1.1부터 모든 버전에 영향을 미치는 문제가 발견되었습니다. 이 문제는 프로젝트 멤버 공개로만 설정 되었음에도 불구하고 Merge Request의 제목이 공개적으로 표시 되도록 허용합니다. 이는 심각도가 중간인 문제입니다( CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
, 5.3). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-2191 이 할당되었습니다.
SSO 세션 없이 이슈 및 에픽에 액세스
16.11.5 이전 16.0, 17.0.3 이전 17.0, 17.1.1 이전 17.1부터 모든 버전에 영향을 미치는 문제가 GitLab EE에서 발견되었습니다. 이는 Duo Chat을 사용하여 공격자가 SSO 세션 없이 이슈와 에픽을 액세스 할 수 있는 문제로, 심각도가 중간인 문제입니다.( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
, 4.3). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-3115 가 할당되었습니다.
프로젝트 멤버가 아닌 사람 Key Result를 목표(Objectives)로 승격할 수 있음
GitLab CE/EE의 16.11.5 이전의 16.1부터, 17.0.3 이전의 17.0부터, 17.1.1 이전의 17.1부터 시작하는 모든 버전에 영향을 미치는 문제가 발견되었습니다. 이는 프로젝트 구성원이 아닌 사람이 Key Result를 목표(Objectives)로 승격시킬 수 있는 문제로, 심각도가 낮은 문제입니다(CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N
,3.1). 현재 최신 릴리즈에서 완화되었으며 CVE-2024-4011이 할당되었습니다.
추가 보완 및 버그/수정 기능
17.1.1
- 보안 포크에서 cng e2e 테스트가 실행되지 않도록 방지
- 푸시가 웹에서 온 경우 사전 수신 확인에서 커밋만 열거합니다.
admin_runner
"공유 러너 설정을 변경하는 기능 허용"을 되돌립니다 .
17.0.3
- 릴리즈 페이지에서 일반 패키지를 다운로드할 때 누락된 파일 이름 수정
- 만료된 테스트 인증서 업데이트
- 여러 Capybara 프록시 서버 시작 방지
- 17-0-stable-ee의 Merge Train 파이프라인 지원을 위한 백포트 3 커밋
- include:comComponent를 사용하여 GQL ciConfig 엔드포인트를 호출할 때 발생하는 오류 수정
- GraphQL 인증에는 문서화된 토큰 유형만 허용합니다.
- 토큰 만료를 알리는 배너 추가
- 푸시가 웹에서 온 경우 사전 수신 확인에서 커밋만 열거합니다.
- 안정적인 브랜치를 위한 백포트 QA 테스트 수정
- 분기 'sh-patch-inspec-gem'을 'master'로 병합
16.11.5
- 여러 Capybara 프록시 서버 시작 방지
- 만료된 테스트 인증서 업데이트
- invert_emails_disabled_to_emails_enabled를 기본 활성화
- GraphQL 인증에는 문서화된 토큰 유형만 허용합니다.
- 토큰 만료를 알리는 배너 추가
- 안정적인 브랜치를 위한 백포트 QA 테스트 수정
16.10.8, 16.9.9, 16.8.8, 16.6.8
인포그랩은 GitLab과 DevOps를 맞춤형으로 기술 지원합니다. GitLab(Omnibus/Cloud Native Hybrid) 구축, GitLab 업그레이드, 마이그레이션 등의 DevOps와 GitLab에 대한 지원이 필요하시면 문의하기로 연락해 주십시오.