GitLab 주요 보안 릴리즈 17.2.2, 17.1.4, 17.0.6

GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 GitLab 중요 보안 릴리즈: 17.2.2, 17.1.4, 17.0.6에 대해 자세히 알아보세요. 오늘 우리는 GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 버전 17.2.2, 17.1.4, 17.0.6을 출시합니다.

이 버전에는 중요한 버그 및 보안 수정 사항이 포함되어 있으므로 모든 GitLab 설치를 즉시 이러한 버전 중 하나로 업그레이드하는 것이 좋습니다. GitLab.com은 이미 패치 버전을 실행하고 있습니다.

이번 패치 릴리즈에서 주요 수정사항은 다음과 같습니다.

• LFS 토큰을 통한 권한 상승으로 무제한 저장소 액세스 부여
• 보안 정책 봇의 프로젝트 간 접근
• 코드 결과에 대한 강조 표시가 있는 ReDOS 고급 검색
• Banzai 파이프라인을 통한 서비스 거부
• adoc 파일을 사용한 서비스 거부
• 와일드카드를 사용하여 브랜치 이름을 일치시킬 때 RefMatcher에서 ReDOS
• 경로 인코딩으로 인해 웹 인터페이스에서 Diff를 올바르게 렌더링하지 못할 수 있음
• API를 통해 원시 XHTML 파일을 볼 때 발생하는 XSS
• 모호한 태그 이름 악용
• 쿼리 매개변수에 잠재적으로 민감한 데이터를 노출하는 로그
• 정책 프로젝트를 사용한 승인 시 비밀번호 우회
• git push를 파싱할 때 발생하는 ReDoS
• Webhook 삭제 감사 로그가 인증 자격 증명을 보존할 수 있음

GitLab 패치 릴리즈는 취약점에 대한 수정 사항을 릴리즈합니다. 패치 릴리즈에는 예정된 릴리즈와 심각도가 높은 취약점에 대한 임시 중요 패치라는 두 가지 유형이 있습니다. 예정 출시일은 한 달에 두 번 둘째, 넷째 수요일에 출시됩니다. 자세한 내용은 릴리즈 핸드북 및 보안 FAQ를 참조하세요 . 여기에서 모든 GitLab 릴리즈 블로그 게시물을 볼 수 있습니다. 보안 수정의 경우, 각 취약점을 자세히 설명하는 문제는 패치가 적용된 릴리즈로부터 30일 후에 문제 추적기에 공개됩니다 .

우리는 고객에게 노출되거나 호스트 고객 데이터가 가장 높은 보안 표준을 유지하는 GitLab의 모든 측면을 보장하기 위해 최선을 다하고 있습니다. 우수한 보안 수준을 유지하는 일환으로 모든 고객은 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것이 좋습니다. 블로그 게시물에서 GitLab 인스턴스 보안에 대한 더 많은 모범 사례를 읽을 수 있습니다 .

권장 조치

아래 버전에 해당된다면 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다.

제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는다는 의미입니다.

보안 조치 사항

LFS 토큰을 통한 권한 상승으로 무제한 저장소 액세스 부여

17.0.6 이전의 8.12, 17.1.4 이전의 17.1, 17.2.2 이전의 17.2부터 시작하는 모든 버전에 영향을 미치는 GitLab CE/EE의 권한 확인 취약점으로 인해 LFS 토큰이 사용자 소유 저장소를 읽고 쓸 수 있었습니다. 이는 중간 심각도 문제입니다( CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N, 6.8). 현재 최신 릴리즈에서 완화되었으며 CVE-2024-3035가 지정되었습니다.

보안 정책 봇의 프로젝트 간 접근

GitLab EE에서 17.0.6 이전의 16.0부터, 17.1.4 이전의 17.1부터, 17.2.2 이전의 17.2부터 시작하는 모든 버전에 영향을 미치는 문제가 발견되어 보안 정책 봇에 대한 프로젝트 간 접근이 허용되었습니다. 이는 중간 심각도 문제( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N , 4.4)입니다. 현재 최신 릴리즈에서 완화되었으며 CVE-2024-6356 이 지정되었습니다.

코드 결과에 대한 강조 표시에서 고급 검색 ReDOS

GitLab CE/EE에서 15.9부터 17.0.6 이전, 17.1부터 17.1.4 이전, 17.2부터 17.2.2 이전까지 모든 버전에 영향을 미치는 서비스 거부(DoS) 조건이 발견되었습니다. 공격자가 Elasticsearch의 결과를 구문 분석하는 동안 치명적인 백트래킹을 일으킬 수 있습니다. 이는 중간 심각도 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L, 4.3). CVE ID를 요청했으며 할당되면 이 블로그 게시물을 업데이트할 것입니다.

Banzai 파이프라인을 통한 서비스 거부

GitLab CE/EE의 모든 버전 1.0부터 17.0.6 이전, 17.1부터 17.1.4 이전, 17.2부터 17.2.2 이전에 여러 Denial of Service (DoS) 조건이 발견되었습니다. 이는 공격자가 banzai 파이프라인을 통해 리소스 소모를 일으킬 수 있도록 허용했습니다. 이 문제는 중간 수준의 심각도( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5)로 분류되며, 최신 릴리스에서 완화되었으며 CVE-2024-5423으로 지정되었습니다.

adoc 파일을 사용한 서비스 거부

GitLab CE/EE의 모든 버전 12.6부터 17.0.6 이전, 17.1의 17.1.4 이전, 17.2의 17.2.2 이전 버전에서 서비스 거부(DoS) 상태가 발견되었습니다. 공격자는 조작된 adoc 파일을 사용하여 서비스 거부를 유발할 수 있습니다. 이 문제는 중간 심각도 이슈로, (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5) 최신 릴리즈에서 완화되었으며  CVE-2024-4210이 지정되었습니다.

와일드카드를 사용하여 브랜치 이름을 일치시킬 때 RefMatcher에서 ReDOS

GitLab EE/CE의 모든 버전 11.3부터 17.0.6 이전, 17.1부터 17.1.4 이전, 17.2부터 17.2.2 이전까지 영향을 미치는 RefMatcher의 ReDoS 결함은 와일드카드를 사용하여 브랜치 이름을 매칭할 때 정규식 백트래킹을 통해 서비스 거부를 허용합니다. 이는 중간 수준의 심각도 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5). 최신 릴리즈에서 완화되었으며 CVE-2024-2800 이 지정되었습니다.

경로 인코딩으로 인해 웹 인터페이스에서 Diff를 올바르게 렌더링하지 못할 수 있음

GitLab CE/EE에서 17.0.6 이전의 8.16부터, 17.1.4 이전의 17.1부터, 17.2.2 이전의 17.2부터 시작하는 모든 버전에 영향을 미치는 문제가 발견되었습니다. 이 문제로 인해 경로가 인코딩될 때 웹 인터페이스가 diff를 올바르게 렌더링하지 못합니다. 이는 중간 심각도 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N, 5.7). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-6329가 지정되었습니다 .

API를 통해 원시 XHTML 파일을 볼 때 발생하는 XSS

GitLab에서 크로스 사이트 스크립팅 문제가 발견되어 17.0.6 이전의 5.1부터, 17.1.4 이전의 17.1부터, 17.2.2 이전의 17.2부터 모든 버전에 영향을 미칩니다. 저장소에서 원시 모드로 XML 파일을 볼 때 특정 상황에서 볼 경우 HTML로 렌더링할 수 있습니다. 이는 중간 심각도 문제입니다(CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N , 4.4). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-4207이 지정되었습니다.

모호한 태그 이름 악용

GitLab CE/EE의 모든 버전 17.0.6 이전, 17.1의 17.1.4 이전, 17.2의 17.2.2 이전 버전에서 문제가 발견되었습니다. 이 문제는 웹 애플리케이션 표시와 git 명령줄 인터페이스 간의 불일치를 악용하여 피해자를 속여 신뢰할 수 없는 코드를 복제하게 할 수 있는 사회 공학적 공격을 허용합니다. 이는 중간 수준의 심각도 문제이며( (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N, 5.3), 최신 릴리즈에서 완화되었으며 CVE-2024-3958로 할당되었습니다.

쿼리 매개변수에 잠재적으로 민감한 데이터를 노출하는 로그

GitLab CE/EE에서 13.9부터 17.0.6 이전의 모든 버전, 17.1부터 17.1.4 이전의 모든 버전, 17.2부터 17.2.2 이전의 모든 버전에 영향을 미치는 문제가 발견되었습니다. 특정 조건에서 특정 방식으로 API 요청이 이루어졌을 때 액세스 토큰이 기록되었을 수 있습니다. 이는 중간 심각도 문제입니다( CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N, 4.9). CVE ID를 요청했으며 할당되면 이 블로그 게시물을 업데이트할 것입니다.

정책 프로젝트를 사용한 승인 시 비밀번호 우회

GitLab EE 버전 16.7부터 17.0.6 이전, 17.1부터 17.1.4 이전, 그리고 17.2부터 17.2.2 이전 버전에서 정책 승인을 위한 비밀번호 재입력 요구를 우회할 수 있는 문제가 발견되었습니다. 이 문제는 중간 정도의 심각도 문제입니다. (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N, 4.2) 최신 릴리즈에서 완화되었으며  CVE-2024-4784가 지정되었습니다.

git push를 파싱할 때 발생하는 ReDoS

GitLab CE/EE의 모든 버전에서 11.10부터 17.0.6 이전, 17.1부터 17.1.4 이전, 17.2부터 17.2.2 이전 버전까지 영향을 받는 문제점이 발견되었습니다. 잘못된 커밋을 파싱하는 처리 로직이 서버에 정규 표현식 DoS 공격을 초래할 수 있습니다. 이 문제는 중간 수준의 심각도(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L, 4.3)입니다. 최신 릴리즈에서 완화되었으며  CVE-2024-3114 가 지정되었습니다.

Webhook 삭제 감사 로그가 인증 자격 증명을 보존할 수 있음

GitLab EE의 모든 버전 17.0부터 17.0.6 이전, 17.1부터 17.1.4 이전, 그리고 17.2부터 17.2.2 이전에서 웹훅 삭제 감사 로그가 인증 자격 증명을 보존하는 문제가 발견되었습니다. 이는 중간 심각도 문제입니다( CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:N/A:N, 4.1). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-7586 이 지정되었습니다.

추가 보완 및 버그/수정 기능

17.2.2

• 백업: Azure 저장소의 기존 백업 구문 분석 수정(Backport 17.2)
• 복원 시 풀 저장소를 고려하지 않음
• CC 서비스 검색 시 nil 반환 금지
• 멘션 앞에 텍스트 추가 시 RTE 관련 문제 수정
• 파라미터 데이터가 JSON으로 변환될 수 없는지 확인'을 17.2로 백포트
• 토큰 만료 표시/편집을 위한 Rake 작업 문서화
• 중복 작업에 대한 락-프리 재스케줄링 도입(백포트 17.2)
• 시퀀스 수정 마이그레이션에서 알 수 없는 시퀀스 무시
• 17.2에서 스퀴시된 뱃지 렌더링 문제 수정
• 빌드 시간을 줄이기 위한 CustomAbility 스펙 최적화
• 에픽 작업 항목 유형인 관련 문제 인덱싱 금지(백포트)
• 0으로 나누기 오류로 인한 템플릿 오류 수정
• CI JWT 토큰의 groups_direct 필드를 기능 플래그 뒤에 배치
• '클러스터 체크 메트릭스 수정'을 17.2로 백포트
• Beyond Identity 버그 수정 사항을 17.2로 백포트
• project_daily_statistic_counter_attribute_fetchFF 기본 활성화
• 릴리스 환경 - 파이프라인 레벨 리소스 그룹(백포트 17.2)
• 개인 액세스 토큰 만료 필요 설정 추가
• 쿠키 SameSite를 HTTP에서 기본값으로 설정(백포트 17.2)
• 안정적인 gitlab-org/gitlab 브랜치에 QA CI 테스트 고정

17.1.4

• 백업: Azure 저장소의 기존 백업 구문 분석 수정(Backport 17.1)
• 중복 작업에 대한 락 프리 재스케줄링 도입 (백포트 17.0)
• 테이블 기반 사양은 더 짧은 사양 제목 필요 백포트
• 빌드 시간을 줄이기 위해 CustomAbility 사양 최적화
• 기능 플래그 뒤에 CI JWT 토큰의 groups_direct 필드 배치
• work_items 테스트에서 SQL 쿼리 임계값 증가
• 파라미터 데이터가 JSON으로 변환될 수 없는지 확인'을 17.2로 백포트
• Beyond Identity 버그 수정 사항을 17.1에 백포트
• gitlab-qa shm 수정을 17.1 안정 브랜치에 백포트
• require_personal_access_token_expiry 애플리케이션 설정 추가

17.0.6

• 백업: Azure 저장소의 기존 백업 구문 분석 수정(Backport 17.0)
• 중복 작업에 대한 락 프리 재스케줄링 도입 (백포트 17.0)
• 테이블 기반 사양은 더 짧은 사양 제목 필요 백포트
• 기능 플래그 뒤에 CI JWT 토큰의 groups_direct 필드 배치
• require_personal_access_token_expiry 애플리케이션 설정 추가

16.11.8

• require_personal_access_token_expiry 애플리케이션 설정 추가

 require_personal_access_token_expiry 애플리케이션 설정 추가

이 설정은 기본적으로 활성화되어 있으며, GitLab 셀프 매니지드 인스턴스의 16.11 버전 이상에서 관리자들이 모든 새로운 개인, 프로젝트, 그룹 액세스 토큰에 만료를 의무화할 수 있도록 하는 선택적 설정입니다. 기존 토큰에 설정된 만료일은 이 설정에 영향을 받지 않습니다. 사용 정보는 "새로운 액세스 토큰에 만료일 요구"를 참조하세요.

원문 바로가기

업그레이드 페이지 바로가기

더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다.지금 문의하기