GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 GitLab 중요 보안 패치 릴리즈: 17.4.1, 17.3.4, 17.2.8에 대해 자세히 알아보세요. 이 버전에는 중요한 버그 및 보안 수정 사항이 포함되어 있으므로 모든 GitLab 설치를 즉시 이러한 버전 중 하나로 업그레이드하는 것이 좋습니다. GitLab.com은 이미 패치 버전을 실행하고 있습니다.
이번 패치 릴리즈에서 주요 수정사항은 다음과 같습니다.
- Maintainer가 조작된 POST 요청을 통해 Dependency Proxy URL을 변경하여 Dependency Proxy 비밀번호를 유출할 수 있음
- AI 기능이 정제되지 않은 콘텐츠를 읽어, 공격자가 프롬프트 인젝션을 숨길 수 있게 함
- 프로젝트 참조가 시스템 노트에 노출될 수 있음
GitLab 패치 릴리즈는 취약점에 대한 수정 사항을 릴리즈합니다. 패치 릴리즈에는 예정된 릴리즈와 심각도가 높은 취약점에 대한 임시 중요 패치라는 두 가지 유형이 있습니다. 예정 출시일은 한 달에 두 번 둘째, 넷째 수요일에 출시됩니다. 자세한 내용은 릴리즈 핸드북 및 보안 FAQ를 참조하세요 . 여기에서 모든 GitLab 릴리즈 블로그 게시물을 볼 수 있습니다. 보안 수정의 경우, 각 취약점을 자세히 설명하는 문제는 패치가 적용된 릴리즈로부터 30일 후에 이슈 추적기에 공개됩니다 .
우리는 고객에게 노출되거나 호스트 고객 데이터가 가장 높은 보안 표준을 유지하는 GitLab의 모든 측면을 보장하기 위해 최선을 다하고 있습니다. 우수한 보안 수준을 유지하는 일환으로 모든 고객은 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것이 좋습니다. 블로그 게시물에서 GitLab 인스턴스 보안에 대한 더 많은 모범 사례를 읽을 수 있습니다 .
권장 조치
아래 버전에 해당된다면 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다 .
제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는다는 의미입니다.
보안 조치 사항
Maintainer가 조작된 POST 요청을 통해 Dependency Proxy URL을 변경하여 Dependency Proxy 비밀번호를 유출할 수 있음
GitLab EE에서 정보 유출 취약점이 발견되었습니다. 이 취약점은 16.5 버전부터 17.2.8 이전 버전, 17.3 버전부터 17.3.4 이전 버전, 그리고 17.4 버전부터 17.4.1 이전 버전에 영향을 미칩니다. Maintainer가 특정 Dependency Proxy 설정을 POST 요청을 통해 편집함으로써 Dependency Proxy 비밀번호를 얻을 수 있었습니다.
이는 중간 수준의 심각도를 가진 문제입니다 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:N
, 5.5). 이 취약점은 최신 릴리즈에서 완화되었으며 CVE-2024-4278로 지정되었습니다.
AI 기능이 정제되지 않은 콘텐츠를 읽어, 공격자가 프롬프트 인젝션을 숨길 수 있게 함
GitLab EE에서 취약점이 발견되었습니다. 이 취약점은 16.0 버전부터 17.2.8 이전 버전, 17.3 버전부터 17.3.4 이전 버전, 그리고 17.4 버전부터 17.4.1 이전 버전에 영향을 미칩니다.
AI 기능이 정제되지 않은 콘텐츠를 읽는 방식으로 인해 공격자가 프롬프트 인젝션을 숨길 수 있는 가능성이 있었습니다.이는 낮은 수준의 심각도를 가진 문제입니다 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N
, 3.1). 이 취약점은 최신 릴리즈에서 완화되었으며 CVE-2024-4099 로 지정되었습니다.
프로젝트 참조가 시스템 노트에 노출될 수 있음
GitLab EE/CE에서 정보 유출 취약점이 발견되었습니다. 이 취약점은 15.6 버전부터 17.2.8 이전 버전, 17.3 버전부터 17.3.4 이전 버전, 그리고 17.4 버전부터 17.4.1 이전 버전에 영향을 미칩니다. 특정 조건에서 권한이 없는 사용자에게 비공개 프로젝트의 경로가 노출될 수 있었습니다.
이는 낮은 수준의 심각도를 가진 문제입니다(CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N
, 2.6). 이 취약점은 최신 릴리즈에서 완화되었으며 CVE-2024-8974로 지정되었습니다.
추가 보완 및 버그/수정 기능
17.4.1
- OpenSSL 호출 메시지 개선
- 프로젝트/:id/공유 API의 긴급도를 낮음으로 변경
- 이슈 종료 패턴 설정에 대한 커밋 메시지 확인
- VR 버튼이 잘못 표시되는 문제 수정 백포트
- '잘못된 gitlab-shell-check 파일 이름 수정'을 17.4로 백포트
- GitLab 17.7로 OpenSSL v3 업데이트 연기를 반영 하여 호출 메시지 업데이트
17.3.4
- OpenSSL 호출 메시지 개선
- 코드 리뷰 AI 기능 정책을 수정하여 듀오 기능 활성화 토글 확인
- GitLab 17.7로 OpenSSL v3 업데이트 연기를 반영하여 호출 메시지 업데이트
17.2.8
더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다.지금 문의하기