GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 GitLab 중요 보안 패치 릴리즈: 17.5.1, 17.4.3, 17.3.6에 대해 자세히 알아보세요. 이 버전에는 중요한 버그 및 보안 수정 사항이 포함되어 있으므로 모든 GitLab 설치를 즉시 이러한 버전 중 하나로 업그레이드하는 것이 좋습니다. GitLab.com은 이미 패치 버전을 실행하고 있습니다.
이번 패치 릴리즈에서 주요 수정 사항은 다음과 같습니다.
- XML Manifest 파일 가져오기를 통한 Dos
- 글로벌 검색 필드에서 HTML인젝션을 통한 XSS
GitLab 패치 릴리즈는 취약점에 대한 수정 사항을 릴리즈합니다. 패치 릴리즈에는 예정된 릴리즈와 심각도가 높은 취약점에 대한 임시 중요 패치라는 두 가지 유형이 있습니다. 예정 출시일은 한 달에 두 번 둘째, 넷째 수요일에 출시됩니다. 자세한 내용은 릴리즈 핸드북 및 보안 FAQ를 참조하세요. 여기에서 모든 GitLab 릴리즈 블로그 게시물을 볼 수 있습니다. 보안 수정의 경우, 각 취약점을 자세히 설명하는 문제는 패치가 적용된 릴리즈로부터 30일 후에 이슈 추적기에 공개됩니다 .
우리는 고객에게 노출되거나 호스트 고객 데이터가 가장 높은 보안 표준을 유지하는 GitLab의 모든 측면을 보장하기 위해 최선을 다하고 있습니다. 우수한 보안 수준을 유지하 는 일환으로 모든 고객은 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것이 좋습니다. 블로그 게시물에서 GitLab 인스턴스 보안에 대한 더 많은 모범 사례를 읽을 수 있습니다 .
권장 조치
아래 버전에 해당한다면 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다 .
제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는다는 의미입니다.
보안 조치 사항
글로벌 검색에서의 HTML 인젝션으로 인한 XSS 가능성
GitLab CE/EE의 모든 버전 15.10부터 17.3.6 이전, 17.4부터 17.4.3 이전, 그리고 17.5부터 17.5.1 이전 버전에 영향을 미치는 문제가 발견되었습니다. 공격자가 차이점 보기의 글로벌 검색 필드에 HTML을 주입하여 XSS로 이어질 수 있습니다. 이는 높은 심각도의 문제입니다 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
, 8.7). 최신 릴리즈에서 이 문제가 완화되었으며 CVE-2024-8312가 할당되었습니다.
XML 매니페스트 파일 가져오기를 통한 DoS
GitLab CE/EE의 모든 버전 11.2부터 17.3.6 이전, 17.4부터 17.4.3 이전, 그리고 17.5부터 17.5.1 이전 버전에 영향을 미치는 문제가 발견되었습니다. 악의적으로 제작된 XML 매니페스트 파일을 가져오는 과정에서 서비스 거부(DoS)가 발생할 수 있습니다. 이는 중간 심각도의 문제입니다 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
, 6.5). 최신 릴리즈에서 이 문제가 완화되었으며 CVE-2024-6826이 할당되었습니다.
Helm 차트, devkit 및 분석 스택 관련 업데이트
Helm Chart
, devkit
및 분석 스택이 동적 퍼널을 더 이상 지원하지 않도록 패치되었습니다.
Ingress NGINX 컨트롤러 이미지를 1.11.2로 업그레이드
GitLab 차트는 포크된 Ingress NGINX 컨트롤러 서브차트를 번들로 제공합니다. 이 이미지 버전을 1.11.2로 업데이트했습니다.
추가 보완 및 버그/수정 기능
17.5.1
17.4.3
- UBI FIPS: bashrc의 강화 스크립트로 인한 오류 해결 (17.4)
- 백포트: 비루트 사용자가 bundle-certificates 스크립트를 실행할 수 있도록 수정 17.4
- gocloud.dev 업데이트를 17.4로 백포트
- 번들 fetch fsck 수정을 17.4로 백포트
- 안정 브랜치 Danger 체크를 17-4-stable-ee로 백포트
- webpack 빌드에서 pdf.js 파일에 버전 추가
- 백포트: pipeline:skip-rspec-fail-fast 레이블이 설정된 경우 rspec fail-fast 작업 건너뛰기
- Zoekt 전역 코드 검색 수정 백포트
- 이슈 작성자가 설정되지 않은 경우 현재 사용자로 설정
- 깨진 의존성을 수정하기 위해 LabKit v1.21.2 업데이트 백포트
- 무료 액세스 중단 후 깨진 duo 채팅 스펙 수정 [17.4]
- 백포트: GitLab CE에 postgresql_new가 포함되도록 보장
17.3.6
- UBI FIPS: bashrc의 강화 스크립트로 인한 오류 해결 (17.3)
- CreateRepositoryFromURL 오류 처리를 17.3으로 백포트
- 이슈 작성자가 설정되지 않은 경우 현재 사용자로 설정
- 무료 액세스 중단 후 깨진 duo 채팅 스펙 수정 [17.3]
- 안정 브랜치 Danger 체크를 17-3-stable-ee로 백포트
더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드 가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다. 지금 문의하기