GitLab 주요 보안 패치 릴리즈 17.9.1, 17.8.4, 17.7.6
오늘은 GitLab Community Edition(CE)와 Enterprise Edition(EE)의 17.9.1, 17.8.4, 17.7.6 버전을 출시합니다. 이번 버전들은 중요한 버그 및 보안 수정사항을 포함하고 있으며, 자체 관리형 GitLab을 사용 중인 모든 설치 환경에서 즉시 이 버전들 중 하나로 업그레이드할 것을 강력히 권장합니다. GitLab.com은 이미 패치된 버전을 실행 중입니다. GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다.
이번 패치 릴리즈에서 주요 수정 사항은 다음과 같습니다.
| 수정사항 | 심각도 |
|---|---|
| k8s 프록시 엔드포인트의 XSS 취약점 | 높음 |
| Maven 종속성 프록시의 XSS 취약점 | 높음 |
| 자체 호스팅 인스턴스의 HTML 인젝션으로 인한 XSS 취약점 | 중간 |
| 부적절한 권한 검사로 인해 게스트 사용자가 보안 정책을 읽을 수 있는 취약점 | 중간 |
| 비공개 프로젝트에서 플래너 역할이 코드 리뷰 분석을 읽을 수 있는 문제 | 중간 |
이 버전들은 중요한 버그 및 보안 수정사항을 포함하고 있으며, 자체 관리형 GitLab을 사용 중인 모든 설치 환경에서 즉시 이 버전들 중 하나로 업그레이드할 것을 강력히 권장합니다. GitLab.com은 이미 패치된 버전을 실행 중입니다. GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다.
GitLab은 취약점에 대한 수정사항을 패치 릴리즈로 제공합니다. 패치 릴리즈에는 두 가지 유형이 있습니다: 예정된 릴리즈와 높은 심각도의 취약점에 대한 임시 중요 패치입니다. 예정된 릴리즈는 매월 둘째 주와 넷째 주 수요일에 두 번 제공됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ를 참조하실 수 있습니다. GitLab의 모든 릴리즈 블로그 게시물은 여기에서 확인하실 수 있습니다.
보안 수정사항의 경우, 각 취약점에 대한 상세 내용은 패치가 적용된 릴리즈 후 30일이 지나면 이슈 트래커에 공개됩니다.
GitLab은 고객에게 노출되거나 고객 데이터를 호스팅하는 모든 측면이 최고 수준의 보안 표준을 준수하도록 보장하기 위해 최선을 다하고 있습니다. 적절한 보안 위생을 유지하기 위해, 모든 고객이 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안에 대한 더 자세한 모범 사례는 블로그 게시물에서 확인하실 수 있습니다.
권장 조치
아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치 환경은 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다.
제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않은 경우, 이는 모든 유형이 영향을 받는다는 의미입니다.
보안 조치 사항
k8s 프록시 엔드포인트의 XSS 취약점
GitLab CE/EE의 15.10 버전부터 17.7.6 이전 버전, 17.8.4 이전의 17.8 버전, 그리고 17.9.1 이전의 17.9 버전에서 취약점이 발견되었습니다. 프록시 기능이 특정 상황에서 의도하지 않은 콘텐츠 렌더링을 허용하여 XSS로 이어질 수 있습니다. 이는 심각도가 높은 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N, 8.7). 최신 릴리즈에서 이 문제가 완화되었으며 CVE-2025-0475가 할당되었습니다.
Maven 종속성 프록시의 XSS 취약점
GitLab-EE의 16.6 버전부터 17.7.6 이전 버전, 17.8 이전의 17.7 버전, 그리고 17.9.1 이전의 17.9 버전에 영향을 미치는 크로스 사이트 스크립팅(XSS) 취약점으로 인해, 공격자가 특정 조건에서 보안 제어를 우회하고 사용자의 브라우저에서 임의의 스크립트를 실행할 수 있습니다. 이는 심각도가 높은 문제입니다(CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N, 7.7). 최신 릴리즈에서 이 문제가 완화되었으며 CVE-2025-0555가 할당되었습니다.
자체 호스팅 인스턴스의 HTML 인젝션으로 인한 XSS 취약점
GitLab CE/EE의 16.6 버전부터 17.7.6 이전 버전, 17.8.4 이전의 17.8 버전, 그리고 17.9.1 이전의 17.9 버전에서 취약점이 발견되었습니다. 공격자가 하위 항목 검색에 HTML을 주입하여 특정 상황에서 XSS로 이어질 수 있습니다. 이는 중간 심각도 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N, 5.4). 최신 릴리즈에서 이 문제가 완화되었으며 CVE-2024-8186가 할당되었습니다.
부적절한 권한 검사로 인해 게스트 사용자가 보안 정책을 읽을 수 있는 취약점
GitLab-EE의 16.2 버전부터 17.7.6 이전 버전, 17.8.4 이전의 17.8 버전, 그리고 17.9.1 이전의 17.9 버전에 영향을 미치는 취약점으로 인해 게스트 사용자가 보안 정책 YAML을 읽을 수 있습니다. 이는 중간 심각도 문제입니다(CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N, 5.3). 최신 릴리즈에서 이 문제가 완화되었으며 CVE-2024-10925가 할당되었습니다.
비공개 프로젝트에서 플래너 역할이 코드 리뷰 분석을 읽을 수 있는 문제
GitLab EE의 17.7.6 이전 17.7 버전, 17.8.4 이전의 17.8 버전, 17.9.1 이전의 17.9 버전에 영향을 미치는 부적절한 권한 부여로 인해 제한된 권한을 가진 사용자가 잠재적으로 민감한 프로젝트 분석 데이터에 접근할 수 있습니다. 이는 중간 심각도 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N, 4.3). 최신 릴리즈에서 이 문제가 완화되었으며 CVE-2025-0307가 할당되었습니다.
추가 보완 및 버그/수정 기능
17.9.1
- 마스터로 'revert-e78b1a9f' 브랜치 백포트 병합
- 17.9 모호한 파이프라인 백포트/수정
- SSL 연결에서 예기치 않은 EOF 무시 가능하도록 개선
- 자체 관리형에서 Duo 채팅 크기 조절 가능하도록 개선 (백포트)
- 'mdc/include-build-assets-image-job-sync-pipelines' 브랜치를 마스터로 병합
- 기본 심각도 재정의에 의한 인스턴스 수준 대시보드 수정
17.8.4
- gitlab-exporter를 v15.2.0으로 업그레이드
- [백포트] 인덱싱이 비활성화된 경우 pending_migrations?에 대해 false 반환
- '10443-fix-workhorse-verify' 브랜치를 마스터로 병합
- 더 엄격한 워크호스 라우트 정규식 되돌리기
- 작업 API에서 작업 토큰으로 인증 시 기본 DB 사용
- 17.8 모호한 파이프라인 백포트/수정
- CI/CD 실패 MR에 대한 추가 커스텀 종료 코드 백포트 및 예약된 cache-assets:production 작업의 에셋 캐싱 수정
- CH 버전 비호환성 수정 백포트
- 'mdc/include-build-assets-image-job-sync-pipelines' 브랜치를 마스터로 병합
- SSL 연결에서 예기치 않은 EOF 무시 가능하도록 개선
- gitlab-exporter 의존성을 v15.2.0으로 업데이트
- [백포트] 인덱싱이 비활성화된 경우 pending_migrations?에 대해 false 반환
- '10443-fix-workhorse-verify' 브랜치를 마스터로 병합
- 더 엄격한 워크호스 라우트 정규식 되돌리기
- 작업 API에서 작업 토큰으로 인증 시 기본 DB 사용
17.7.6
- '10443-fix-workhorse-verify' 브랜치를 마스터로 병합
- 더 엄격한 워크호스 라우트 정규식 되돌리기
- 실패한 작업 위젯 폴링 문제 수정
- 모호한 created_at 수정 백포트
- CI/CD 실패 MR에 대한 추가 커스텀 종료 코드 백포트 및 예약된 cache-assets:production 작업의 에셋 캐싱 수정
- 'mdc/include-build-assets-image-job-sync-pipelines' 브랜치를 마스터로 병합
- SSL 연결에서 예기치 않은 EOF 무시 가능하도록 개선
- '10443-fix-workhorse-verify' 브랜치를 마스터로 병합
- 더 엄격한 워크호스 라우트 정규식 되돌리기
업데이트
GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.
더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다. 지금 문의하기
[인포그랩] GitLab 주요 보안 패치 릴리즈 17.9.1, 17.8.4, 17.7.6
오늘은 GitLab Community Edition(CE)와 Enterprise Edition(EE)의 17.9.1, 17.8.4, 17.7.6 버전을 출시합니다. 이번 버전들은 중요한 버그 및 보안 수정사항을 포함하고 있으며, 자체 관리형 GitLab을 사용 중인 모든 설치 환경에서 즉시 이 버전들 중 하나로 업그레이드할 것을 강력히 권장합니다. GitLab.com은 이미 패치된 버전을 실행 중입니다. GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다.
이번 패치 릴리즈에서 주요 수정 사항은 다음과 같습니다.
| 수정사항 | 심각도 |
|---|---|
| k8s 프록시 엔드포인트의 XSS 취약점 | 높음 |
| Maven 종속성 프록시의 XSS 취약점 | 높음 |
| 자체 호스팅 인스턴스의 HTML 인젝션으로 인한 XSS 취약점 | 중간 |
| 부적절한 권한 검사로 인해 게스트 사용자가 보안 정책을 읽을 수 있는 취약점 | 중간 |
| 비공개 프로젝트에서 플래너 역할이 코드 리뷰 분석을 읽을 수 있는 문제 | 중간 |
이 버전들은 중요한 버그 및 보안 수정사항을 포함하고 있으며, 자체 관리형 GitLab을 사용 중인 모든 설치 환경에서 즉시 이 버전들 중 하나로 업그레이드할 것을 강력히 권장합니다. GitLab.com은 이미 패치된 버전을 실행 중입니다. GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다.
GitLab은 취약점에 대한 수정사항을 패치 릴리즈로 제공합니다. 패치 릴리즈에는 두 가지 유형이 있습니다: 예정된 릴리즈와 높은 심각도의 취약점에 대한 임시 중요 패치입니다. 예정된 릴리즈는 매월 둘째 주와 넷째 주 수요일에 두 번 제공됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ를 참조하실 수 있습니다. GitLab의 모든 릴리즈 블로그 게시물은 여기에서 확인하실 수 있습니다.
보안 수정사항의 경우, 각 취약점에 대한 상세 내용은 패치가 적용된 릴리즈 후 30일이 지나면 이슈 트래커에 공개됩니다.
GitLab은 고객에게 노출되거나 고객 데이터를 호스팅하는 모든 측면이 최고 수준의 보안 표준을 준수하도록 보장하기 위해 최선을 다하고 있습니다. 적절한 보안 위생을 유지하기 위해, 모든 고객이 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안에 대한 더 자세한 모범 사례는 블로그 게시물에서 확인하실 수 있습니다.
권장 조치
아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치 환경은 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다.
제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않은 경우, 이는 모든 유형이 영향을 받는다는 의미입니다.
보안 조치 사항
k8s 프록시 엔드포인트의 XSS 취약점
GitLab CE/EE의 15.10 버전부터 17.7.6 이전 버전, 17.8.4 이전의 17.8 버전, 그리고 17.9.1 이전의 17.9 버전에서 취약점이 발견되었습니다. 프록시 기능이 특정 상황에서 의도하지 않은 콘텐츠 렌더링을 허용하여 XSS로 이어질 수 있습니다. 이는 심각도가 높은 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N, 8.7). 최신 릴리즈에서 이 문제가 완화되었으며 CVE-2025-0475가 할당되었습니다.
Maven 종속성 프록시의 XSS 취약점
GitLab-EE의 16.6 버전부터 17.7.6 이전 버전, 17.8 이전의 17.7 버전, 그리고 17.9.1 이전의 17.9 버전에 영향을 미치는 크로스 사이트 스크립팅(XSS) 취약점으로 인해, 공격자가 특정 조건에서 보안 제어를 우회하고 사용자의 브라우저에서 임의의 스크립트를 실행할 수 있습니다. 이는 심각도가 높은 문제입니다(CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N, 7.7). 최신 릴리즈에서 이 문제가 완화되었으며 CVE-2025-0555가 할당되었습니다.
자체 호스팅 인스턴스의 HTML 인젝션으로 인한 XSS 취약점
GitLab CE/EE의 16.6 버전부터 17.7.6 이전 버전, 17.8.4 이전의 17.8 버전, 그리고 17.9.1 이전의 17.9 버전에서 취약점이 발견되었습니다. 공격자가 하위 항목 검색에 HTML을 주입하여 특정 상황에서 XSS로 이어질 수 있습니다. 이는 중간 심각도 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N, 5.4). 최신 릴리즈에서 이 문제가 완화되었으며 CVE-2024-8186가 할당되었습니다.
부적절한 권한 검사로 인해 게스트 사용자가 보안 정책을 읽을 수 있는 취약점
GitLab-EE의 16.2 버전부터 17.7.6 이전 버전, 17.8.4 이전의 17.8 버전, 그리고 17.9.1 이전의 17.9 버전에 영향을 미치는 취약점으로 인해 게스트 사용자가 보안 정책 YAML을 읽을 수 있습니다. 이는 중간 심각도 문제입니다(CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N, 5.3). 최신 릴리즈에서 이 문제가 완화되었으며 CVE-2024-10925가 할당되었습니다.
비공개 프로젝트에서 플래너 역할이 코드 리뷰 분석을 읽을 수 있는 문제
GitLab EE의 17.7.6 이전 17.7 버전, 17.8.4 이전의 17.8 버전, 17.9.1 이전의 17.9 버전에 영향을 미치는 부적절한 권한 부여로 인해 제한된 권한을 가진 사용자가 잠재적으로 민감한 프로젝트 분석 데이터에 접근할 수 있습니다. 이는 중간 심각도 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N, 4.3). 최신 릴리즈에서 이 문제가 완화되었으며 CVE-2025-0307가 할당되었습니다.
추가 보완 및 버그/수정 기능
17.9.1
- 마스터로 'revert-e78b1a9f' 브랜치 백포트 병합
- 17.9 모호한 파이프라인 백포트/수정
- SSL 연결에서 예기치 않은 EOF 무시 가능하도록 개선
- 자체 관리형에서 Duo 채팅 크기 조절 가능하도록 개선 (백포트)
- 'mdc/include-build-assets-image-job-sync-pipelines' 브랜치를 마스터로 병합
- 기본 심각도 재정의에 의한 인스턴스 수준 대시보드 수정
17.8.4
- gitlab-exporter를 v15.2.0으로 업그레이드
- [백포트] 인덱싱이 비활성화된 경우 pending_migrations?에 대해 false 반환
- '10443-fix-workhorse-verify' 브랜치를 마스터로 병합
- 더 엄격한 워크호스 라우트 정규식 되돌리기
- 작업 API에서 작업 토큰으로 인증 시 기본 DB 사용
- 17.8 모호한 파이프라인 백포트/수정
- CI/CD 실패 MR에 대한 추가 커스텀 종료 코드 백포트 및 예약된 cache-assets:production 작업의 에셋 캐싱 수정
- CH 버전 비호환성 수정 백포트
- 'mdc/include-build-assets-image-job-sync-pipelines' 브랜치를 마스터로 병합
- SSL 연결에서 예기치 않은 EOF 무시 가능하도록 개선
- gitlab-exporter 의존성을 v15.2.0으로 업데이트
- [백포트] 인덱싱이 비활성화된 경우 pending_migrations?에 대해 false 반환
- '10443-fix-workhorse-verify' 브랜치를 마스터로 병합
- 더 엄격한 워크호스 라우트 정규식 되돌리기
- 작업 API에서 작업 토큰으로 인증 시 기본 DB 사용
17.7.6
- '10443-fix-workhorse-verify' 브랜치를 마스터로 병합
- 더 엄격한 워크호스 라우트 정규식 되돌리기
- 실패한 작업 위젯 폴링 문제 수정
- 모호한 created_at 수정 백포트
- CI/CD 실패 MR에 대한 추가 커스텀 종료 코드 백포트 및 예약된 cache-assets:production 작업의 에셋 캐싱 수정
- 'mdc/include-build-assets-image-job-sync-pipelines' 브랜치를 마스터로 병합
- SSL 연결에서 예기치 않은 EOF 무시 가능하도록 개선
- '10443-fix-workhorse-verify' 브랜치를 마스터로 병합
- 더 엄격한 워크호스 라우트 정규식 되돌리기
이 내용은 GitLab 블로그 포스트를 번역한 글입니다. 해당 내용은 인포그랩 인사이트 기술 블로그 에서도 확인하실 수 있습니다.
Eva
Project Manager
UI/UX 서비스 기획자로 커머스·시스템 구축·운영 등 다양한 프로젝트를 경험했습니다. 사용자 관점에서 요구사항을 빠르게 정리해 정책·IA·UX 흐름처럼 실행 가능한 구조로 설계하는 데 강점이 있습니다. 기획과 커뮤니케이션, 디자인, 개발 편식없이 일하는 잡식성 업무스타일을 가지고 있습니다.
이 저자의 글 모두 보기 →관련 글
GitLab 보안 패치 릴리즈 18.10.3, 18.9.5, 18.8.9
GitLab Community Edition과 Enterprise Edition의 18.10.3, 18.9.5, 18.8.9 버전이 출시되었으며, 중요한 버그 및 보안 수정 사항이 포함되어 있습니다. 모든 사용자는 즉시 최신 버전으로 업그레이드할 것을 권장하며, GitLab.com은 이미 패치된 버전을 실행 중입니다. 보안 수정 사항에는 여러 취약점이 포함되어 있으며, 각 취약점에 대한 자세한 내용은 30일 후에 공개됩니다. 업그레이드 시 다중 노드 배포가 가능하며, 새로운 마이그레이션은 포함되어 있지 않습니다.
2026년 4월 9일
GitLab 보안 패치 릴리즈 18.10.1, 18.9.3, 18.8.7
GitLab Community Edition과 Enterprise Edition의 18.10.1, 18.9.3, 18.8.7 버전이 출시되었으며, 12건의 보안 수정 사항과 여러 버그 수정을 포함하고 있어 즉시 업그레이드가 권장됩니다. 주요 취약점으로는 Jira Connect의 부적절한 파라미터 처리, GLQL API의 CSRF 문제 등이 있으며, 각 취약점에 대한 상세 정보는 30일 후 공개됩니다. 업그레이드 시 데이터베이스 마이그레이션에 주의해야 하며, 다중 노드 인스턴스는 무중단 업그레이드가 가능합니다.
2026년 4월 2일
GitLab 보안 패치 릴리즈 18.9.2, 18.8.6, 18.7.6
GitLab 18.9.2, 18.8.6, 18.7.6 버전이 출시되었으며, 14건의 보안 수정 사항과 다수의 버그 수정이 포함되어 있어 모든 셀프 관리형 인스턴스의 즉시 업그레이드를 권장합니다. 주요 보안 취약점으로는 Markdown 플레이스홀더 XSS, GraphQL API DoS, Repository 아카이브 DoS, Protected Branches API DoS 등이 있습니다.
2026년 3월 11일