GitLab 주요 보안 패치 릴리즈 17.8.1, 17.7.3, 17.6.4

Project Manager

2025년 1월 23일 · 약 7분

오늘은 GitLab Community Edition(CE)와 Enterprise Edition(EE)의 17.8.1, 17.7.3, 17.6.4 버전을 출시합니다. 이번 버전들은 중요한 버그 및 보안 수정사항을 포함하고 있으며, 자체 관리형 GitLab을 사용 중인 모든 설치 환경에서 즉시 이 버전들 중 하나로 업그레이드할 것을 강력히 권장합니다. GitLab.com은 이미 패치된 버전을 실행 중입니다. GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다.

이번 패치 릴리즈에서 주요 수정 사항은 다음과 같습니다.

수정사항	심각도
Asciidoctor 렌더링을 통한 저장형 XSS	높음
개발자가 CI 린트를 통해 보호된 CI/CD 변수를 유출할 수 있는 문제	중간
에픽의 순환 참조로 인한 리소스 고갈	중간

GitLab은 패치 릴리즈를 통해 취약점 수정사항을 제공합니다. 패치 릴리즈에는 두 가지 유형이 있습니다: 정기 릴리즈와 고심각도 취약점에 대한 임시 긴급 패치입니다. 정기 릴리즈는 매월 둘째 주와 넷째 주 수요일에 두 번 제공됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ를 참조하실 수 있습니다. GitLab의 모든 릴리즈 블로그 게시물은 여기에서 확인하실 수 있습니다.

보안 수정사항의 경우, 각 취약점에 대한 상세 이슈는 패치가 적용된 릴리즈 이후 30일이 지나면 이슈 트래커에 공개됩니다.

우리는 고객에게 노출되거나 고객 데이터를 호스팅하는 GitLab의 모든 측면이 최고 수준의 보안 표준을 유지하도록 보장하기 위해 최선을 다하고 있습니다. 적절한 보안 위생 관리의 일환으로, 모든 고객이 지원되는 버전의 최신 패치 릴리즈로 업그레이드하실 것을 적극 권장합니다. GitLab 인스턴스 보안을 위한 더 많은 모범 사례를 블로그 게시물에서 확인하실 수 있습니다.

권장 조치

아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치 환경은 최신 버전으로 가능한 한 빨리 업그레이드할 것을 강력히 권장합니다.

제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않은 경우, 이는 모든 유형이 영향을 받는다는 의미입니다.

보안 조치 사항

Asciidoctor 렌더링을 통한 저장형 XSS

GitLab CE/EE의 17.2부터 17.6.4 이전 버전, 17.7부터 17.7.3 이전 버전, 그리고 17.8부터 17.8.1 이전 버전에서 취약점이 발견되었습니다. 특정 파일 유형의 부적절한 렌더링으로 인해 크로스 사이트 스크립팅이 발생할 수 있었습니다. 이는 높은 심각도 문제(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N, 8.7)입니다. 최신 릴리즈에서 해결되었으며 CVE-2025-0314가 할당되었습니다.

개발자가 CI 린트를 통해 보호된 CI/CD 변수를 유출할 수 있는 문제

GitLab CE/EE의 17.0부터 17.6.4 이전 버전, 17.7부터 17.7.3 이전 버전, 그리고 17.8부터 17.8.1 이전 버전에서 취약점이 발견되었습니다. 특정 조건에서 개발자 권한을 가진 사용자가 CI 린트를 통해 보호된 CI/CD 변수를 유출할 수 있었습니다. 이는 중간 심각도 문제(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N, 6.4)입니다. 최신 릴리즈에서 해결되었으며 CVE-2024-11931이 할당되었습니다.

에픽의 순환 참조로 인한 리소스 고갈

GitLab CE/EE의 15.7부터 17.6.4 이전 버전, 17.7부터 17.7.3 이전 버전, 그리고 17.8부터 17.8.1 이전 버전에서 취약점이 발견되었습니다. 에픽 간의 순환 참조를 생성하여 DoS를 유발할 수 있었습니다. 이는 중간 심각도 문제(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L, 4.3)입니다. 최신 릴리즈에서 해결되었으며 CVE-2024-6324가 할당되었습니다.