GitLab 주요 보안 패치 릴리즈 17.5.2, 17.4.4, 17.3.7
GitLab Community Edition(CE) 및 Enterprise Edition(EE)용 GitLab 중요 보안 패치 릴리즈: 17.5.2, 17.4.4, 17.3.7에 대해 자세히 알아보세요. 이 버전에는 중요한 버그 및 보안 수정 사항이 포함되어 있으므로 모든 GitLab 설치를 즉시 이러한 버전 중 하나로 업그레이드하는 것이 좋습니다. GitLab.com은 이미 패치 버전을 실행하고 있습니다.
이번 패치 릴리즈에서 주요 수정 사항은 다음과 같습니다.
- Kubernetes 클러스터 에이전트에 대한 무단 액세스
- 기기 OAuth 흐름으로 인한 윈도우 간 위조 가능성
- 악의적으로 조작된 FogBugz 가져오기 페이로드를 통한 서비스 거부 공격
- 분석 대시보드의 JavaScript URL을 통한 저장된 XSS
- 취약점 코드 흐름의 HTML 인젝션으로 인해 자체 호스팅 인스턴스에서 XSS가 발생할 수 있음
- API 엔드포인트를 통한 정보 유출
GitLab 패치 릴리즈는 취약점에 대한 수정 사항을 릴리즈합니다. 패치 릴리즈에는 예정된 릴리즈와 심각도가 높은 취약점에 대한 임시 중요 패치라는 두 가지 유형이 있습니다. 예정 출시일은 한 달에 두 번 둘째, 넷째 수요일에 출시됩니다. 자세한 내용은 릴리즈 핸드북 및 보안 FAQ를 참조하세요. 여기에서 모든 GitLab 릴리즈 블로그 게시물을 볼 수 있습니다. 보안 수정의 경우, 각 취약점을 자세히 설명하는 문제는 패치가 적용된 릴리즈로부터 30일 후에 이슈 추적기에 공개됩니다 .
우리는 고객에게 노출되거나 호스트 고객 데이터가 가장 높은 보안 표준을 유지하는 GitLab의 모든 측면을 보장하기 위해 최선을 다하고 있습니다. 우수한 보안 수준을 유지하는 일환으로 모든 고객은 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것이 좋습니다. 블로그 게시물에서 GitLab 인스턴스 보안에 대한 더 많은 모범 사례를 읽을 수 있습니다 .
권장 조치
아래 버전에 해당한다면 가능한 한 빨리 최신 버전으로 업그레이드하는 것이 좋습니다 .
제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않으면 모든 유형이 영향을 받는다는 의미입니다.
보안 조치 사항
Kubernetes 클러스터 에이전트에 대한 무단 액세스
GitLab CE/EE의 모든 버전 16.0부터 17.3.7 이전, 17.4부터 17.4.4 이전, 그리고 17.5부터 17.5.2 이전 버전에 영향을 미치는 문제가 발견되었습니다. 이 문제로 인해 특정 구성에서 클러스터의 Kubernetes 에이전트에 무단 액세스가 가능했을 수 있습니다. 이는 높은 심각도의 문제입니다 (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H, 8.5). 이 문제는 최신 릴리즈에서 완화되었으며 CVE-2024-9693이 할당되었습니다.
기기 OAuth 흐름으로 인한 윈도우 간 위조 가능성
GitLab CE/EE의 17.2부터 17.3.7 이전 버전, 17.4부터 17.4.4 이전 버전, 그리고 17.5부터 17.5.2 이전 버전에 영향을 미치는 문제가 발견되었습니다. 이 문제로 인해 공격자가 기기 OAuth 흐름을 통해 피해자로서 전체 API 액세스 권한을 얻을 수 있었습니다. 이는 중간 심각도의 문제입니다 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N, 6.8). 이 문제는 최신 릴리즈에서 완화되었으며 CVE-2024-7404가 할당되었습니다.
악의적으로 조작된 FogBugz 가져오기 페이로드를 통한 서비스 거부 공격
GitLab CE/EE의 7.14.1부터 17.3.7 이전 버전, 17.4부터 17.4.4 이전 버전, 그리고 17.5부터 17.5.2 이전 버전에 영향을 미치는 서비스 거부(DoS) 문제가 발견되었습니다. Fogbugz 가져오기 도구를 사용하여 악의적으로 조작된 콘텐츠를 가져올 때 서비스 거부가 발생할 수 있습니다. 이는 중간 심각도의 문제입니다 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5). CVE ID를 요청했으며 할당되면 이 블로그 게시물을 업데이트할 예정입니다.
분석 대시보드의 JavaScript URL을 통한 저장된 XSS
GitLab CE/EE의 16 버전부터 17.3.7 이전, 17.4부터 17.4.4 이전, 그리고 17.5부터 17.5.2 이전 버전에 영향을 미치는 문제가 발견되었습니다. 이 취약점으로 인해 공격자가 특별히 조작된 URL을 통해 분석 대시보드에 악성 JavaScript 코드를 주입할 수 있습니다. 이는 중간 심각도의 문제입니다 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N, 6.1). 이 문제는 최신 릴리즈에서 완화되었으며 CVE-2024-8648이 할당되었습니다.
취약점 코드 흐름의 HTML 인젝션으로 인해 자체 호스팅 인스턴스에서 XSS가 발생할 수 있음
GitLab CE/EE의 17.3 버전부터 17.3.7 이전, 17.4 버전부터 17.4.4 이전, 그리고 17.5 버전부터 17.5.2 이전 버전에 영향을 미치는 문제가 발견되었습니다. CSP가 활성화되지 않은 경우 부적절한 출력 인코딩으로 인해 XSS가 발생할 수 있습니다. 이는 중간 심각도의 문제입니다 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N,5.4). 이 문제는 최신 릴리즈에서 완화되었으며 CVE-2024-8180이 할당되었습니다.
API 엔드포인트를 통한 정보 유출
GitLab EE의 17.3 버전부터 17.3.7 이전, 17.4 버전부터 17.4.4 이전, 그리고 17.5 버전부터 17.5.2 이전 버전에 영향을 미치는 문제가 발견되었습니다. 이 문제로 인해 특정 상황에서 인증되지 않은 사용자가 비공개 프로젝트의 MR(Merge Request)에 대한 일부 정보를 읽을 수 있었습니다. 이는 중간 심각도의 문제입니다 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N, 5.3). 이 문제는 최신 릴리즈에서 완화되었으며 CVE-2024-10240이 할당되었습니다.
2024년 10월 28일 Mattermost 보안 업데이트
Mattermost가 버전 10.1.2로 업데이트되었으며, 이 버전에는 여러 패치와 보안 수정 사항이 포함되어 있습니다.
추가 보완 및 버그/수정 기능
17.5.2
- 보안 패치 업그레이드 알림: 관리자에게만 노출 17-5
- [백포트] 에픽을 범위에 추가하고 불안정한 스펙 수정
- [백포트] 하위 그룹 연관성 인덱싱 수정
- 파티션이 존재하는 경우 테이블을 파티션으로 생성하지 않음
- OpenSearch 클러스터에 대한 작업 항목 인덱스에 knn 인덱스 설정 추가
- [백포트] 새 프로젝트 그룹 템플릿 페이지네이션 수정
- PDF 뷰어에서 PDF 작업자 파일 경로 업데이트
- [백포트] 이슈 라벨 패싯이 선택된 라벨을 덮어쓰는 문제 수정
- 17-5-stable-ee 브랜치에서 작업 항목 작업 수정
- [백포트] Go-get: 개인 토큰이 유효하지 않을 때 404 오류 코드 반환
- 프로젝트 설정 저장 시 오류를 방지하기 위해 매개변수 필터링 추가
- 기본 브랜치에서 다중 버전 업그레이드 마이그레이션 스펙 건너뛰기
- 사용자 피드에서 그룹 위키 활동 이벤트가 깨지는 문제 수정
- Destroy merge train car after branch deletion
- 백포트: 조건에서 권한 JSONB 열 제거
17.4.4
- Backport fix for incorrect error classification to 17.4
- 17.4 버전에 잘못된 오류 분류에 대한 수정 사항 백포트
- 17-4 백포트: s3ForcePathStyle을 지원하는 버전으로 GoCloud 업데이트
- 17.3이 이전 필수 정지 지점이므로 17.3.5의 덤프 사용
- 보안 패치 업그레이드 알림: 관리자에게만 노출 17-4
- 17-4-stable-ee 브랜치에서 작업 항목 작업 수정
- e2e:test-product-analytics 실행하지 않음
- 머지 트레인 검증 시 auto_merge_enabled가 설정되어 있는지 확인
- 브랜치 삭제 후 머지 트레인 카 제거
- 대상 브랜치가 삭제된 경우 손상된 머지 트레인 병합 수정
- 백포트: 조건에서 권한 JSONB 열 제거
- PDF 뷰어에서 PDF 작업자 파일 경로 업데이트
17.3.7
- 17.3 버전에 dragonboat의 파일 권한 오류 백포트
- 16.11이 이전 필수 정지 지점이므로 16.11.8의 덤프 사용
- 17-3-stable-ee 브랜치에서 작업 항목 작업 수정
더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다.
Eva
Project Manager
UI/UX 서비스 기획자로 커머스·시스템 구축·운영 등 다양한 프로젝트를 경험했습니다. 사용자 관점에서 요구사항을 빠르게 정리해 정책·IA·UX 흐름처럼 실행 가능한 구조로 설계하는 데 강점이 있습니다. 기획과 커뮤니케이션, 디자인, 개발 편식없이 일하는 잡식성 업무스타일을 가지고 있습니다.
이 저자의 글 모두 보기 →관련 글
GitLab 보안 패치 릴리즈 18.11.1, 18.10.4, 18.9.6
GitLab 18.11.1, 18.10.4, 18.9.6 보안 패치가 출시되어 주요 버그와 보안 취약점(CSRF, XSS, DoS 등)을 수정했으며, 모든 셀프‑관리 인스턴스는 즉시 업그레이드가 권장됩니다. 패치에는 데이터베이스 마이그레이션이 포함되고, 단일 노드에서는 다운타임이 발생하고 다중 노드에서는 무중단 업그레이드가 가능합니다. 주요 보안 이슈와 각 버전별 수정 사항, 업그레이드 절차 및 참고 문서가 제공됩니다.
2026년 4월 22일
GitLab 보안 패치 릴리즈 18.10.3, 18.9.5, 18.8.9
GitLab Community Edition과 Enterprise Edition의 18.10.3, 18.9.5, 18.8.9 버전이 출시되었으며, 중요한 버그 및 보안 수정 사항이 포함되어 있습니다. 모든 사용자는 즉시 최신 버전으로 업그레이드할 것을 권장하며, GitLab.com은 이미 패치된 버전을 실행 중입니다. 보안 수정 사항에는 여러 취약점이 포함되어 있으며, 각 취약점에 대한 자세한 내용은 30일 후에 공개됩니다. 업그레이드 시 다중 노드 배포가 가능하며, 새로운 마이그레이션은 포함되어 있지 않습니다.
2026년 4월 9일
GitLab 보안 패치 릴리즈 18.10.1, 18.9.3, 18.8.7
GitLab Community Edition과 Enterprise Edition의 18.10.1, 18.9.3, 18.8.7 버전이 출시되었으며, 12건의 보안 수정 사항과 여러 버그 수정을 포함하고 있어 즉시 업그레이드가 권장됩니다. 주요 취약점으로는 Jira Connect의 부적절한 파라미터 처리, GLQL API의 CSRF 문제 등이 있으며, 각 취약점에 대한 상세 정보는 30일 후 공개됩니다. 업그레이드 시 데이터베이스 마이그레이션에 주의해야 하며, 다중 노드 인스턴스는 무중단 업그레이드가 가능합니다.
2026년 4월 2일