GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 GitLab 중요 보안 패치 릴리즈: 17.5.1, 17.4.3, 17.3.6에 대해 자세히 알아보세요. 이 버전에는 중요한 버그 및 보안 수정 사항이 포함되어 있으므로 모든 GitLab 설치를 즉시 이러한 버전 중 하나로 업그레이드하는 것이 좋습니다. GitLab.com은 이미 패치 버전을 실행하고 있습니다.
이번 패치 릴리즈에서 주요 수정 사항은 다음과 같습니다.
- XML Manifest 파일 가져오기를 통한 Dos
- 글로벌 검색 필드에서 HTML인젝션을 통한 XSS
GitLab 패치 릴리즈는 취약점에 대한 수정 사항을 릴리즈합니다. 패치 릴리즈에는 예정된 릴리즈와 심각도가 높은 취약점에 대한 임시 중요 패치라는 두 가지 유형이 있습니다. 예정 출시일은 한 달에 두 번 둘째, 넷째 수요일에 출시됩니다. 자세한 내용은 릴리즈 핸드북 및 보안 FAQ를 참조하세요. 여기에서 모든 GitLab 릴리즈 블로그 게시물을 볼 수 있습니다. 보안 수정의 경우, 각 취약점을 자세히 설명하는 문제는 패치가 적용된 릴리즈로부터 30일 후에 이슈 추적기에 공개됩니다 .
우리는 고객에게 노출되거나 호스트 고객 데이터가 가장 높은 보안 표준을 유지하는 GitLab의 모든 측면을 보장하기 위해 최선을 다하고 있습니다. 우 수한 보안 수준을 유지하는 일환으로 모든 고객은 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것이 좋습니다. 블로그 게시물에서 GitLab 인스턴스 보안에 대한 더 많은 모범 사례를 읽을 수 있습니다 .
권장 조치
아래 버전에 해당한다면 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다 .
제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는다는 의미입니다.
보안 조치 사항
글로벌 검색에서의 HTML 인젝션으로 인한 XSS 가능성
GitLab CE/EE의 모든 버전 15.10부터 17.3.6 이전, 17.4부터 17.4.3 이전, 그리고 17.5부터 17.5.1 이전 버전에 영향을 미치는 문제가 발견되었습니다. 공격자가 차이점 보기의 글로벌 검색 필드에 HTML을 주입하여 XSS로 이어질 수 있습 니다. 이는 높은 심각도의 문제입니다 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
, 8.7). 최신 릴리즈에서 이 문제가 완화되었으며 CVE-2024-8312가 할당되었습니다.
XML 매니페스트 파일 가져오기를 통한 DoS
GitLab CE/EE의 모든 버전 11.2부터 17.3.6 이전, 17.4부터 17.4.3 이전, 그리고 17.5부터 17.5.1 이전 버전에 영향을 미치는 문제가 발견되었습니다. 악의적으로 제작된 XML 매니페스트 파일을 가져오는 과정에서 서비스 거부(DoS)가 발생할 수 있습니다. 이는 중간 심각도의 문제입니다 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
, 6.5). 최신 릴리즈에서 이 문제가 완화되었으며 CVE-2024-6826이 할당되었습니다.