GitLab 주요 보안 릴리즈 17.2.1, 17.1.3, 17.0.5

GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 GitLab 중요 보안 릴리즈: 17.2.1, 17.1.3, 17.0.5에 대해 자세히 알아보세요. 오늘 우리는 GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 버전 17.2.1, 17.1.3, 17.0.5를 출시합니다.

이 버전에는 중요한 버그 및 보안 수정 사항이 포함되어 있으므로 모든 GitLab 설치를 즉시 이러한 버전 중 하나로 업그레이드하는 것이 좋습니다. GitLab.com은 이미 패치 버전을 실행하고 있습니다.

이번 패치 릴리즈에서 주요 수정사항은 다음과 같습니다.

• Maven 종속성 프록시를 통한 XSS
• DOM에서 프로젝트 수준 분석 설정 유출
• 설정을 사용하여 방지하더라도 보고서에서 작업 아티팩트에 액세스 하고 다운로드 가능
• 직접 전송 - 승인된 프로젝트/그룹 내보내기에 다른 사용자 액세스
• Import를 통한 태그 확인 및 브랜치 확인을 우회
• 프로젝트 Import/Export - 프로젝트/그룹 내보내기 파일을 시작한 사용자를 제외하고 모든 사람에게 숨겨짐

GitLab 패치 릴리즈는 취약점에 대한 수정 사항을 릴리즈합니다. 패치 릴리즈에는 예정된 릴리즈와 심각도가 높은 취약점에 대한 임시 중요 패치라는 두 가지 유형이 있습니다. 예정 출시일은 한 달에 두 번 둘째, 넷째 수요일에 출시됩니다. 자세한 내용은 릴리즈 핸드북 및 보안 FAQ를 참조하세요 . 여기에서 모든 GitLab 릴리즈 블로그 게시물을 볼 수 있습니다. 보안 수정의 경우, 각 취약점을 자세히 설명하는 문제는 패치가 적용된 릴리즈로부터 30일 후에 문제 추적기에 공개됩니다 .

우리는 고객에게 노출되거나 호스트 고객 데이터가 가장 높은 보안 표준을 유지하는 GitLab의 모든 측면을 보장하기 위해 최선을 다하고 있습니다. 우수한 보안 수준을 유지하는 일환으로 모든 고객은 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것이 좋습니다. 블로그 게시물에서 GitLab 인스턴스 보안에 대한 더 많은 모범 사례를 읽을 수 있습니다 .

권장 조치

아래 버전에 해당된다면 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다 .

제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는다는 의미입니다.

보안 조치 사항

Maven 종속성 프록시를 통한 XSS

GitLab CE/EE에서 16.6 이전 17.0.5, 17.1 이전 17.1.3, 17.2 이전 17.2.1의 모든 버전에 영향을 미치는 크로스 사이트 스크립팅 취약점이 발견되었습니다. 이로 인해 공격자는 현재 로그인한 사용자의 컨텍스트에서 임의의 스크립트를 실행할 수 있도록 허용합니다. 이는 심각도가 높은 문제입니다. (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N, 7.7)

DOM에서 프로젝트 수준 분석 설정 유출

GitLab EE에서 16.11부터 17.0.5 이전, 17.1부터 17.1.3 이전, 17.2부터 17.2.1 이전의 모든 버전에 영향을 미치는 문제가 발견되었습니다. 특정 프로젝트 수준 분석 설정이 DOM에서 Developer 이상 역할의 그룹 멤버에게 유출될 수 있습니다. 이는 중간 심각도 문제입니다( CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N , 4.4). 현재 최신 릴리즈에서 완화되었으며 CVE-2024-5067 이 지정되었습니다 .

설정을 사용하여 방지하더라도 보고서에서 작업 아티팩트에 액세스 하고 다운로드 가능

GitLab CE/EE 17.0.5 이전의 16.7부터, 17.1.3 이전의 17.1부터, 17.2.1 이전의 17.2부터 영향을 미치는 GitLab CE/EE의 정보 공개 취약점이 발견되었습니다. 이로 인해 적절한 권한 수준이 없는 사용자에게 작업 아티팩트가 부적절하게 노출될 수 있습니다. 이는 중간 심각도 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N, 4.3). 최신 릴리즈에서 완화되었으며 CVE-2024-7057 이 지정되었습니다.

직접 전송 - 승인된 프로젝트/그룹 내보내기에 다른 사용자 액세스

GitLab CE/EE 15.6 버전부터 17.0.5 이전 버전, 17.1 버전부터 17.1.3 이전 버전, 그리고 17.2 버전부터 17.2.1 이전 버전에 영향을 미치는 취약점이 발견되었습니다. 이 취약점으로 인해 내보낸 그룹이나 프로젝트의 제한된 정보를 다른 사용자에게 노출시킬 수 있었습니다.

이는 중간 심각도 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N, 4.1 ).

Import를 통한 태그 확인 및 브랜치 확인을 우회

GitLab CE/EE의 12.0 버전 부터 17.0.5 이전, 17.1부터 17.1.3 이전, 그리고 17.2부터 17.2.1 이전의 모든 버전에 영향을 미치는 리소스 오용 취약점이 발견되었습니다. 이 취약점으로 인해 공격자가 리포지토리 가져오기를 통해 커밋을 잘못된 방향으로 조작하도록 유도할 수 있습니다. 이는 낮은 심각도의 문제입니다( CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N, 2.7).  현재 최신 릴리즈에서 이 문제가 완화되었으며,  CVE-2024-0231 이 지정되었습니다.

프로젝트 Import/Export - 프로젝트/그룹 내보내기 파일을 시작한 사용자를 제외하고 모든 사람에게 숨겨짐

GitLab CE/EE의 15.4 이전 버전 부터 17.0.5, 17.1 이전 17.1.3, 17.2 이전 17.2.1의 모든 버전에 영향을 미치는 프로젝트/그룹 Export의 정보공개 취약점이 발견되었습니다. 이로 인해 권한이 없는 사용자가 결과 내보내기를 볼 수 있습니다. 이는 낮은 심각도 문제입니다( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N, 2.6).

추가 보완 및 버그/수정 기능

17.2.1

• "페이지 토큰이 동일한 트리에 있는지 확인하십시오"를 되돌립니다.
• 순서 의존적인 Elasticsearch 스팩 실패 수정
• RC 태그에서 릴리스 환경을 실행하기 위한 백포트를 '17-2-stable-ee'로 설정
• cluster_util_spec.rb에서 상태 누수를 수정합니다.
• rspec 헬퍼가 curl을 -fail 옵션과 함께 호출하도록 확인
• 안정적인 브랜치를 타겟으로 하는 MR의 경우 e2e:package-and-test-ee를 실행
• build-gdk-image, e2e:test-on-gdk 및 retag-gdk-image 작업 제거(17.2)
• SEC가 사용 가능할 때 PEP 수정을 위한 17.2 백포트
• 버그 수정: Ultimate 라이선스가 있는 경우에만 고급 SAST 작업을 실행합니다.
• 17.2에 대한 백포트 파이프라인 수정
• 다운스트림 작업에서 액세스할 수 없는 개인 dotenv 아티팩트

17.1.3

• 백포트 모의 태그 정리 관련 수정
• Multiarch는 백포트(17.1)를 수정합니다.
• 보안 리포지토리에서 release-environments 파이프라인을 17.1 버전으로 백포트
• 백포트 [17.1] 쿼리에서 빈 minimum_should_match 수정
• npm upload에서 package.json에 대한 와일드카드 검색을 수정
• NPM 레지스트리: saj 파서 교체(17.1 백포트)
• API 다운로드(17.1 백포트)에서 Azure의 Content-Disposition 헤더 수정
• 순서 의존적인 Elasticsearch 스팩 실패 수정
• RC 태그에서 릴리스 환경을 실행하기 위한 백포트를 '17-1-stable-ee'로 설정
• cluster_util_spec.rb에서 상태 누수를 수정합니다.
• 'sh-curl-fail-ci' 브랜치를 'master'로 병합 - 17.1
• 이미 존재하는 객체 풀 생성 오류 무시 17.1
• 백포트 토큰 로깅 개선
• 백포트에서 토큰 만료 정보를 표시하기 위한 Rake 작업 추가
• build-gdk-image, e2e:test-on-gdk 및 retag-gdk-image 작업 제거(17.1)
• 17.1에 대한 백포트 파이프라인 수정
• 다운스트림 작업에서 액세스할 수 없는 개인 dotenv 아티팩트

17.0.5

• 백포트 모의 태그 정리 관련 수정
• Multiarch는 백포트(17.0)를 수정합니다.
• RC 태그에서 릴리스 환경을 실행하기 위한 백포트를 '17-0-stable-ee'로 설정
• 백포트 문제해결 "Geo: JWT 토큰 만료 기간이 너무 짧음"
• 이미 존재하는 객체 풀 생성 오류 무시 17.0
• 인스턴스 러너 등록 토큰을 사용하여 500 오류 수정
• 백포트 토큰 로깅 개선
• PAT 만료 추가를 완료하는 마이그레이션 삭제
• 토큰 만료 배너 업데이트
• 백포트에서 토큰 만료 정보를 표시하기 위한 Rake 작업 추가
• 순서 의존적인 사용자 정의 역할 정의 스팩 실패 수정
• 17.0에 대한 백포트 파이프라인 수정
• 다운스트림 작업에서 액세스할 수 없는 개인 dotenv 아티팩트

16.11.7

• 백포트: Geo - JWT 토큰 만료 기간이 너무 짧음
• 이미 존재하는 객체 풀 생성 오류 무시 17.0
• 백포트 토큰 로깅 개선
• PAT 만료 추가를 완료하는 마이그레이션 삭제
• 토큰 만료 배너 업데이트
• 백포트에서 토큰 만료 정보를 표시하기 위한 Rake 작업 추가

16.10.9

• 백포트 토큰 로깅 개선
• PAT 만료 추가를 완료하는 마이그레이션 삭제
• 토큰 만료 배너 업데이트
• 백포트에서 토큰 만료 정보를 표시하기 위한 Rake 작업 추가

16.9.10

• 백포트 토큰 로깅 개선
• PAT 만료 추가를 완료하는 마이그레이션 삭제
• 토큰 만료 배너 업데이트
• 백포트에서 토큰 만료 정보를 표시하기 위한 Rake 작업 추가

16.8.9

• 백포트 토큰 로깅 개선
• PAT 만료 추가를 완료하는 마이그레이션 삭제
• 토큰 만료 배너 업데이트
• 백포트에서 토큰 만료 정보를 표시하기 위한 Rake 작업 추가

16.7.9

• 백포트 토큰 로깅 개선
• PAT 만료 추가를 완료하는 마이그레이션 삭제
• 토큰 만료 배너 업데이트
• 백포트에서 토큰 만료 정보를 표시하기 위한 Rake 작업 추가

16.6.9

• 백포트 토큰 로깅 개선
• PAT 만료 추가를 완료하는 마이그레이션 삭제
• 토큰 만료 배너 업데이트
• 백포트에서 토큰 만료 정보를 표시하기 위한 Rake 작업 추가

16.5.9

• 백포트 토큰 로깅 개선
• PAT 만료 추가를 완료하는 마이그레이션 삭제
• 토큰 만료 배너 추가
• 백포트에서 토큰 만료 정보를 표시하기 위한 Rake 작업 추가

16.4.6

• PAT 만료 추가를 완료하는 마이그레이션 삭제
• 토큰 만료 배너 추가
• 백포트에서 토큰 만료 정보를 표시하기 위한 Rake 작업 추가

16.3.8

• PAT 만료 추가를 완료하는 마이그레이션 삭제
• 토큰 만료 배너 추가
• 백포트에서 토큰 만료 정보를 표시하기 위한 Rake 작업 추가

16.2.10

• PAT 만료 추가를 완료하는 마이그레이션 삭제
• 토큰 만료 배너 추가
• 백포트에서 토큰 만료 정보를 표시하기 위한 Rake 작업 추가

16.1.7

• PAT 만료 추가를 완료하는 마이그레이션 삭제
• 토큰 만료 배너 추가
• 백포트에서 토큰 만료 정보를 표시하기 위한 Rake 작업 추가

16.0.9

• PAT 만료 추가를 완료하는 마이그레이션 삭제
• 토큰 만료 배너 추가
• 백포트에서 토큰 만료 정보를 표시하기 위한 Rake 작업 추가

원문 바로가기

업그레이드 페이지 바로가기

더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다.지금 문의하기