GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 GitLab 중요 보안 릴리즈: 17.1.2, 17.0.4, 16.11.6에 대해 자세히 알아보세요. 오늘 우리는 GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 버전 17.1.2, 17.0.4, 16.11.6을 출시합니다.
이 버전에는 중요한 버그 및 보안 수정 사항이 포함되어 있으므로 모든 GitLab 설치를 즉시 이러한 버전 중 하나로 업그레이드하는 것이 좋습니다. GitLab.com은 이미 패치 버전을 실행하고 있습니다.
GitLab 패치 릴리즈는 취약점에 대한 수정 사항을 릴리즈합니다. 패치 릴리즈에는 예정된 릴리즈와 심각도가 높은 취약점에 대한 임시 중요 패치라는 두 가지 유형이 있습니다. 예정 출시일은 한 달에 두 번 둘째, 넷째 수요일에 출시됩니다. 자세한 내용은 릴리스 핸드북 및 보안 FAQ를 참조하세요 . 여기에서 모든 GitLab 릴리즈 블로그 게시물을 볼 수 있습니다. 보안 수정의 경우, 각 취약점을 자세히 설명하는 문제는 패치가 적용된 릴리즈로부터 30일 후에 문제 추적기에 공개됩니다 .
우리는 고객에게 노출되거나 호스트 고객 데이터가 가장 높은 보안 표준을 유지하는 GitLab의 모든 측면을 보장하기 위해 최선을 다하고 있습니다. 우수한 보안 수 준을 유지하는 일환으로 모든 고객은 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것이 좋습니다. 블로그 게시물에서 GitLab 인스턴스 보안에 대한 더 많은 모범 사례를 읽을 수 있습니다 .
권장 조치
아래 버전에 해당된다면 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다 .
제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는다는 의미입니다.
보안 조치 사항
공격자가 임의의 사용자로 파이프라인 작업을 실행
GitLab CE/EE에서 16.11.6 이전 버전 15.8, 17.0.4 이전 17.0, 17.1.2 이전 17.1에 영향을 미치는 문제가 발견되었습니다. 이로 인해 공격자는 특정 상황에서 다른 사용자로 파이프라인을 트리거할 수 있습니다. 이는 Critical 심각도의 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
, 9.6). 이제 최신 릴리즈에서 해결되었으며 CVE-2024-6385 가 지정되었습니다.
admin_compliance_framework
권한이 있는 Developer 사용자는그룹 URL을 변경할 수 있음
GitLab CE/EE에서 17.0.4 이전의 17.0부터 시작하는 모든 버전과 17.1.2 이전의 17.1부터 시작하는 모든 버전에 영향을 미치는 문제가 발견되었습니다. 여기서 admin_compliance_framework 사용자 정의 역할을 가진 개발자 사용자는 그룹 네임스페이스의 URL을 수정할 수 있었습니다. 이는 심각도가 중간인 문제입니다(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N
, 4.9). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-5257이 할당되었습니다.
관리자 푸시 규칙의 커스텀 롤은 프로젝트 수준의 배포 토큰 생성 가능
GitLab CE/EE에서 17.0.4 이전의 17.0부터 시작하는 모든 버전과 17.1.2 이전의 17.1부터 시작하는 모든 버전에 영향을 미치는 문제가 발견되었습니다. admin_push_rules
권한이 있는 게스트 사용자가 프로젝트 수준 배포 토큰을 생성할 수 있었습니다. 이는 심각도가 낮은 문제입니다( CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N
, 3.8). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-5470 이 지정되었습니다.
Manifest confusion에 취약한 패키지 레지스트리
GitLab CE/EE에서 16.11.6 이전의 11.8부터, 17.0.4 이전의 17.0부터, 17.1.2 이전의 17.1부터 영향을 미치는 문제가 발견되었습니다. 이 문제로 인해 패키지 데이터가 충돌하는 NPM 패키지를 업로드 할 수 있었습니다. 이는 심각도가 낮은 문제입니다( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:N/I:L/A:N
, 3.0). 현재 최신 릴리즈에서 완화되었으며 CVE-2024-6595 가 지정되었습니다.
admin_group_member
권한이 있는 사용자가 그룹 멤버를 차단할 수 있음
GitLab CE/EE에서 16.5부터 16.11.6 이전, 17.0부터 17.0.4 이전, 17.1부터 17.1.2 이전 모든 버전에 영향을 미치는 문제가 발견되었습니다. 이 문제로 인해 admin_group_member
의 커스텀 롤 역할의 사용자는 그룹 멤버를 차단할 수 있었습니다. 이는 심각도가 낮은 문제입니다( CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N
, 2.7). 최신 릴리즈에서 완화되었으며 CVE-2024-2880 이 지정되었습니다.
GitLab Pages의 하위 도메인 인수
GitLab CE/EE에서 16.11.6 이전의 모든 버전, 17.0.4 이전의 17.0부터, 17.1.2 이전의 17.1부터 영향을 미치는 문제가 발견되었습니다. 이 문제는 사용자 지정 도메인이 확인될 때마다 도메인이 활성화되었는지 확인하여 GitLab Pages에서 하위 도메인 인수를 허용합니다. 이는 심각도가 낮은 문제입니다( , 3.5). 현재 최신 릴리즈에서 완화되었으며 CVE-2024-5528CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N
이 지정되었습니다 .
추가 보완 및 버그/수정 기능
17.1.2
- git: 업데이트
symlinkPointsToGitDir
버전 확인 - Omnibus에서 MailRoom이 로드되지 않는 문제 수정
- 설정된 경우 Elasticsearch 인덱서에 정적 AWS 자격 증명을 사용합니다.
- ci: 17-1 안정적인 브랜치를 타겟으로 하는 MR에 기본 Ruby 버전을 사용합니다.
- 기본 검색 횟수가 아닌 거래 개시를 제거합니다.
- 'echui-gitlab-master-patch-58822' 브랜치를 'master'에 병합합니다.
- graphql_minimal_auth_methods에 대한 FF 버전 정보 업데이트
- 'correct_finalize_epics_backfilling' 브랜치를 '17-1-stable-ee'로 병합
- 검증되지 않은 변경 사항 병합 모달이 잘못 표시되는 문제를 수정합니다.
- 백포트 17.1: 필드는 Url이라고 해야 합니다.
- 백포트 릴리스 환경 알림 파이프라인이 17.1로 변경됨
- 종속성 slack-messenger를 v2.3.5로 업데이트
- 강제로 ffi gem이 Ruby 플랫폼 gem을 사용하도록 함
- 예약된 문자로 Redis 암호 처리 수정
- 안정적인 gitlab-org/gitlab 브랜치에 QA CI 테스트 고정
17.0.4
- 백포트 릴리스 환경 알림 파이프라인이 16.11로 변경되었습니다.
- 백포트 릴리스 환경 알림 파이프라인이 17.0으로 변경됨
- 종속성 slack-messenger를 v2.3.5로 업데이트
- 안정적인 gitlab-org/gitlab 브랜치에 QA CI 테스트 고정
- 예약된 문자로 Redis 암호 처리 수정
16.11.6
- graphql FF에 대한 버전 정보 업데이트
- 16.11에서 CI 작업에 사용할 Ruby 패치 버전을 정의합니다.
- 16.11의 경우: CI에서 Omnibus 및 CNG Ruby 버전을 명시적으로 설정
- 백포트 릴리스 환경 알림 파이프라인이 16.11로 변경되었습니다.
- 종속성 slack-messenger를 v2.3.5로 업데이트
- 안정적인 gitlab-org/gitlab 브랜치에 QA CI 테스트 고정
더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다.지금 문의하기