오늘은 GitLab Community Edition(CE)와 Enterprise Edition(EE)의 17.8.2, 17.7.4, 17.6.5 버전을 출시합니다. 이번 버전들은 중요한 버그 및 보안 수정사항을 포함하고 있으며, 자체 관리형 GitLab을 사용 중인 모든 설치 환경에서 즉시 이 버전들 중 하나로 업그레이드할 것을 강력히 권장합니다. GitLab.com은 이미 패치된 버전을 실행 중입니다. GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다.

이번 패치 릴리즈에서 주요 수정 사항은 다음과 같습니다.

수정사항심각도
Merge Request 페이지의 CSP 우회 XSS 취약점높음
무제한 심볼 생성으로 인한 서비스 거부중간
프롬프트 인젝션을 이용한 비공개 이슈 내용 유출중간
사용자 정의 권한으로 인한 저장소 설정 우회 가능성중간
워크호스의 라우트 혼동으로 인한 내부 HTTP 헤더 유출중간
워크스페이스를 통한 SSRF중간
GitLab의 플래너 역할에 의한 무단 인시던트 종료 및 삭제중간
ActionCable이 토큰 폐기 후 토큰을 무효화하지 않음중간

GitLab은 패치 릴리즈를 통해 취약점 수정사항을 제공합니다. 패치 릴리즈에는 두 가지 유형이 있습니다: 정기 릴리즈와 고심각도 취약점에 대한 임시 긴급 패치입니다. 정기 릴리즈는 매월 둘째 주와 넷째 주 수요일에 두 번 제공됩니다. 자세한 내용은 릴리즈 핸드북보안 FAQ를 참조하실 수 있습니다. GitLab의 모든 릴리즈 블로그 게시물은 여기에서 확인하실 수 있습니다.

보안 수정사항의 경우, 각 취약점에 대한 상세 이슈는 패치가 적용된 릴리즈 이후 30일이 지나면 이슈 트래커에 공개됩니다.

우리는 고객에게 노출되거나 고객 데이터를 호스팅하는 GitLab의 모든 측면이 최고 수준의 보안 표준을 유지하도록 보장하기 위해 최선을 다하고 있습니다. 적절한 보안 위생 관리의 일환으로, 모든 고객이 지원되는 버전의 최신 패치 릴리즈로 업그레이드하실 것을 적극 권장합니다. GitLab 인스턴스 보안을 위한 더 많은 모범 사례를 블로그 게시물에서 확인하실 수 있습니다.

권장 조치

아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치 환경은 최신 버전으로 가능한 한 빨리 업그레이드할 것을 강력히 권장합니다.

제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않은 경우, 이는 모든 유형이 영향을 받는다는 의미입니다.

보안 조치 사항

Merge Request 페이지의 CSP 우회 XSS 취약점

GitLab CE/EE의 13.3 버전부터 17.6.5 이전 버전, 17.7 버전부터 17.7.4 이전 버전, 그리고 17.8 버전부터 17.8.2 이전 버전에 영향을 미치는 XSS 취약점이 발견되었습니다. 이 취약점은 공격자가 변경 페이지를 통해 승인되지 않은 작업을 실행할 수 있게 합니다. 이는 높은 심각도의 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N, 8.7). 최신 릴리즈에서 이 문제가 해결되었으며 CVE-2025-0376이 할당되었습니다.

무제한 심볼 생성으로 인한 서비스 거부

GitLab CE/EE의 14.1 버전부터 17.6.5 이전 버전, 17.7 버전부터 17.7.4 이전 버전, 그리고 17.8 버전부터 17.8.2 이전 버전에 영향을 미치는 서비스 거부 취약점이 발견되었습니다. 이 취약점은 공격자가 개인 접근 토큰의 범위 매개변수를 통한 무제한 심볼 생성으로 GitLab의 가용성에 영향을 미칠 수 있습니다. 이는 중간 심각도의 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5). 최신 릴리즈에서 이 문제가 해결되었으며 CVE-2024-12379가 할당되었습니다.

프롬프트 인젝션을 이용한 비공개 이슈 내용 유출

GitLab EE의 16.0 버전부터 17.6.5 이전 버전, 17.7 버전부터 17.7.4 이전 버전, 그리고 17.8 버전부터 17.8.2 이전 버전에 영향을 미치는 문제가 발견되었습니다. 이 취약점은 공격자가 프롬프트 인젝션을 사용하여 비공개 이슈의 내용을 유출할 수 있게 합니다. 이는 중간 심각도의 문제입니다(CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N, 6.4). 최신 릴리즈에서 이 문제가 해결되었으며 CVE-2024-3303이 할당되었습니다.

사용자 정의 권한으로 인한 저장소 설정 우회 가능성

GitLab EE의 15.7 버전부터 17.6.5 이전 버전, 17.7 버전부터 17.7.4 이전 버전, 그리고 17.8 버전부터 17.8.2 이전 버전에 영향을 미치는 안전하지 않은 직접 객체 참조 취약점이 발견되었습니다. 이 취약점은 공격자가 승인되지 않은 방식으로 저장소를 볼 수 있게 합니다. 이는 중간 심각도의 문제입니다(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N, 4.9). 최신 릴리즈에서 이 문제가 해결되었으며 CVE-2025-1042가 할당되었습니다.

워크호스의 라우트 혼동으로 인한 내부 HTTP 헤더 유출

GitLab CE/EE의 8.3 버전부터 17.6.5 이전 버전, 17.7 버전부터 17.7.4 이전 버전, 그리고 17.8 버전부터 17.8.2 이전 버전에 영향을 미치는 정보 노출 취약점이 발견되었습니다. 이 취약점은 공격자가 백엔드 서버에 조작된 요청을 보내 민감한 정보를 노출시킬 수 있습니다. 이는 중간 심각도의 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N, 4.3). 최신 릴리즈에서 이 문제가 해결되었으며 CVE-2025-1212가 할당되었습니다.

워크스페이스를 통한 SSRF

GitLab EE의 15.11 버전부터 17.6.5 이전 버전, 17.7 버전부터 17.7.4 이전 버전, 그리고 17.8 버전부터 17.8.2 이전 버전에 영향을 미치는 외부 서비스 상호작용 취약점이 발견되었습니다. 이 취약점은 공격자가 GitLab 서버에서 의도하지 않은 서비스로 요청을 보낼 수 있게 합니다. 이는 중간 심각도의 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N, 4.3). 최신 릴리즈에서 이 문제가 해결되었으며 CVE-2024-9870이 할당되었습니다.

GitLab의 플래너 역할에 의한 무단 인시던트 종료 및 삭제

GitLab CE/EE의 17.7 버전부터 17.7.4 이전 버전, 17.8 버전부터 17.8.2 이전 버전에 영향을 미치는 부적절한 권한 부여로 인해 제한된 권한을 가진 사용자가 중요한 프로젝트 데이터에 대해 승인되지 않은 작업을 수행할 수 있습니다. 이는 중간 심각도의 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N, 4.3). 최신 릴리즈에서 이 문제가 해결되었으며 CVE-2025-0516이 할당되었습니다.

ActionCable이 토큰 폐기 후 토큰을 무효화하지 않음

GitLab CE/EE의 16.11 버전부터 17.6.5 이전 버전, 17.7 버전부터 17.7.4 이전 버전, 그리고 17.8 버전부터 17.8.2 이전 버전에서 발견된 문제로 인해 ActionCable의 장기 연결이 폐기된 개인 접근 토큰으로 스트리밍 결과에 접근할 수 있었습니다. 이는 중간 심각도의 문제입니다(CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N, 4.2). 최신 릴리즈에서 이 문제가 해결되었으며 CVE-2025-1198이 할당되었습니다.

Mattermost 2025년 1월 22일 보안 업데이트

Mattermost가 여러 패치와 보안 수정사항이 포함된 버전 10.2.3으로 업데이트되었습니다.

추가 보완 및 버그/수정 기능

17.8.2

17.7.4

17.6.5

업데이트

GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.

원문 바로가기

더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다. 지금 문의하기