GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 GitLab 중요 보안 릴리즈: 17.3.1, 17.2.4, 17.1.6에 대해 자세히 알아보세요. 오늘 우리는 GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 버전 17.3.1, 17.2.4, 17.1.6을 출시합니다.
이 버전에는 중요한 버그 및 보안 수정 사항이 포함되어 있으므로 모든 GitLab 설치를 즉시 이러한 버전 중 하나로 업그레이드하는 것이 좋습니다. GitLab.com은 이미 패치 버전을 실행하고 있습니다.
이번 패치 릴리즈에서 주요 수정사항은 다음과 같습니다.
- GitLab의 웹 인터페이스가 릴리즈에서 소스 코드를 다운로드 할 때 정보 무결성을 보장하지 않는 문제
- 악의적으로 조작된 GitHub 저장소 가져오기로 인한 서비스 거부 취약점
- "취약점 해결" 기능에서 프롬프트 인젝션으로 인한 피해자 파이프라인에서의 임의 명령 실행 취약점
- 그룹 소유자가 IP 제한을을 활성화 한 후 권한없는 사용자가 GraphQL을 통해 우회하여 일부 작업을 수행할 수 있는 취약점
- Mattermost 보안 업데이트(24.07.02)
GitLab 패치 릴리즈는 취약점에 대한 수정 사항을 릴리즈합니다. 패치 릴리즈에는 예정된 릴리즈와 심각도가 높은 취약점에 대한 임시 중요 패치라는 두 가지 유형이 있습니다. 예정 출시일은 한 달에 두 번 둘째, 넷째 수요일에 출시됩니다. 자세한 내용은 릴리즈 핸드북 및 보안 FAQ를 참조하세요 . 여기에서 모든 GitLab 릴리즈 블로그 게시물을 볼 수 있습니다. 보안 수정의 경우, 각 취약점을 자세히 설명하는 문제는 패치가 적용된 릴리즈로부터 30일 후에 문제 추적기에 공개됩니다 .
우리는 고객에게 노출되거나 호스트 고객 데이터가 가장 높은 보안 표준을 유지하는 GitLab의 모든 측면을 보장하기 위해 최선을 다하고 있습니다. 우수한 보안 수준을 유지하는 일환으로 모든 고객은 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것이 좋습니다. 블로그 게시물에서 GitLab 인스턴스 보안에 대한 더 많은 모범 사례를 읽을 수 있습니다 .
권장 조치
아래 버전에 해당된다면 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다 .
제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는다는 의미입니다.
보안 조치 사항
GitLab 웹 인터페이스가 릴리즈에서 소스 코드를 다운로드할 때 정보 무결성을 보장하지 않는 문제
GitLab CE/EE에서 17.1.6 이전의 8.2부터, 17.2.4 이전의 17.2부터, 17.3.1 이전의 17.3부터 모든 버전에 영향을 미치는 문제가 발견되었습니다. 공격자가 삭제된 태그와 동일한 이름으로 브랜치를 생성할 수 있습니다. 이는 중간 심각도 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N
, 5.7). 현재 최신 릴리즈에서 완화되었으며 CVE-2024-6502가 지정되었습니다.
악의적으로 조작된 GitHub 저장소 가져오기로 인한 서비스 거부 취약점
GitLab CE/EE의 모든 버전(17.1.6 이전, 17.2.0부터 17.2.4 이전, 17.3.0부터 17.3.1 이전)에서 서비스 거부(DoS) 취약점이 발견되었습니다. GitHub 가져오기 기능을 사용하여 악의적으로 조작된 저장소를 가져올 때 서비스 거부가 발생할 수 있습니다. 이는 중간 심각도 문제입니다.(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
, 6.5) 현재 최신 릴리즈에서 완화되었으며 CVE-2024-8041 가 지정되었습니다.
"취약점 해결" 기능에서 프롬프트 인젝션으로 인한 피해자 파이프라인에서의 임의 명령 실행 취약점
GitLab EE 17.0부터 17.1.6 이전, 17.2부터 17.2.4 이전, 17.3부터 17.3.1 이전의 모든 버전에서 발견된 취약점으로, 공격자가 프롬프트 인젝션을 통해 피해자의 파이프라인에서 임의의 명령 을 실행할 수 있습니다. 이는 중간 심각도의 문제입니다( CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N
, 6.4).
현재 최신 릴리즈에서 완화되었으며 CVE-2024-7110 이 지정되었습니다.
그룹 소유자가 IP 제한을을 활성화 한 후 권한없는 사용자가 GraphQL 을 통해 우회하여 일부 작업을 수행할 수 있는 취약점
GitLab EE의 12.5부터 17.1.6 이전의 모든 버전, 17.2부터 17.2.4 이전의 모든 버전, 17.3부터 17.3.1 이전의 모든 버전에서 발견된 취약점으로, 특정 조건에서 GraphQL을 통해 그룹에 대한 IP 제한을 우회할 수 있어, 권한이 없는 사용자가 그룹 수준에서 일부 작업을 수행할 수 있습니다. 이는 중간 심각도 문제입니다( CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
, 4.3). 이제 최신 릴리즈에서 완화되었으며 CVE-2024-3127 이 지정되었습니다.
Mattermost 보안 업데이트(24.07.02)
Mattermost가 여러 패치와 보안 수정 사항이 포함된 버전 9.9.0으로 업데이트되었습니다.
추가 보완 및 버그/수정 기능
17.3.1
- 그룹 종속성 확인 시 발생하는 타임아웃 문제 수정 (17.3 백포트)
- "백그라운드 마이그레이션으로 인한 이슈 제거" 문제 해결 (17.3 백포트)
- Geo 복제 세부 정보가 잘못 비어있는 문제 수정 (17.3 백포트)
- 취약점 마이그레이션 버그 수정 (17.3 백포트)
- 더 이상 사용되지 않는 OS 목록에 데비안 10 (Buster) 추가
- PostgreSQL 공유 버퍼의 기본 최소값을 256 MB로 증가
- 코드 제안에 언어 서버 버전 포함
- Gitaly의 NotFound를 InfoRefs에 대한 404로 변환
17.2.4
- 릴리스 환경 실행 시 에셋 이미지 빌드 (17.2 백포트)
- 백포트 DORA DF 점수 재계산
- 태깅 시 릴리스 환경을 실행하지 않도록 수정 (17.2 백포트)
- 클라우드 커넥터 서비스에 대한 stong_memoization 제거
- 신용카드 해싱 백그라운드 마이그레이션 실행 전 열 존재 여부 확인
- 'jennykim/remove-release-environment-canonical-pipeline' 브랜치를 'master'에 병합
- 빈 종속성 목록 페이지 수정
- 빈 repository.ff_merge 처리 (17.2 백포트)
- 17.1에서 제거된 백그라운드 마이그레이션으로 인한 업그레이드 문제" 해결 (17.2 백포트)
- 코드 제안에 언어 서버 버전 포함
- Gitaly의 NotFound를 InfoRefs에 대한 404로 변환
17.1.6
- 릴리스 환경 - 파이프라인 수준 리소스 그룹 (17.1 백포트)
- 릴리스 환경 실행 시 에셋 이미지 빌드 (17.1 백포트)
- 태깅 시 릴리스 환경을 실행하지 않도록 수정 (17.1 백포트)
- gitlab-qa shm 수정사항을 17.1 안정 브랜치 버전에 백포트
- 정식 RE 다운스트림 파이프라인 제거 백포
- 자체 컴파일된 버전의 최소 Go 버전 요구사항 업데이트 (17.1)
- 빈 repository.ff_merge 처리 (17.1 백포트)
- "백그라운드 마이그레이션으로 인한 이슈 제거" 문제 해결 (17.1 백포트
- !157455를 17-1-stable-ee로 백포트 수정
- 코드 제안에 언어 서버 버전 포함
더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다.지금 문의하기