GitLab 주요 보안 패치 릴리즈 17.9.2, 17.8.5, 17.7.7

Project Manager

2025년 3월 12일 · 약 14분

오늘은 GitLab Community Edition(CE)와 Enterprise Edition(EE)의 17.9.2, 17.8.5, 17.7.7 버전을 출시합니다. 이 버전들은 중요한 버그 및 보안 수정사항을 포함하고 있으며, 자체 관리형 GitLab을 사용 중인 모든 설치 환경에서 즉시 이 버전들 중 하나로 업그레이드할 것을 강력히 권장합니다. GitLab.com은 이미 패치된 버전을 실행 중입니다. GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다.

GitLab은 취약점에 대한 수정사항을 패치 릴리즈로 제공합니다. 패치 릴리즈에는 두 가지 유형이 있습니다: 예정된 릴리즈와 높은 심각도의 취약점에 대한 임시 중요 패치입니다. 예정된 릴리즈는 매월 둘째 주와 넷째 주 수요일에 두 번 제공됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ를 참조하실 수 있습니다. GitLab의 모든 릴리즈 블로그 게시물은 여기에서 확인하실 수 있습니다.

보안 수정사항의 경우, 각 취약점에 대한 상세 내용은 패치가 적용된 릴리즈 후 30일이 지나면 이슈 트래커에 공개됩니다.

GitLab은 고객에게 노출되거나 고객 데이터를 호스팅하는 모든 측면이 최고 수준의 보안 표준을 준수하도록 보장하기 위해 최선을 다하고 있습니다. 적절한 보안 위생을 유지하기 위해, 모든 고객이 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안에 대한 더 자세한 모범 사례는 블로그 게시물에서 확인하실 수 있습니다.

이번 패치 릴리즈에서 주요 수정 사항은 다음과 같습니다.

수정사항	심각도
CVE-2025-25291 및 CVE-2025-25292 (서드파티 젬 `ruby-saml`)	심각
CVE-2025-27407 (서드파티 젬 `graphql`)	높음
신뢰할 수 없는 입력의 비효율적 처리로 인한 서비스 거부	중간
저장소 미러링 실패 시 자격 증명 노출	중간
제한되지 않은 필드로 인한 GitLab 승인 규칙의 서비스 거부 취약점	중간
리뷰 제출 시 병합 요청의 내부 노트가 비회원에게 이메일로 전송되는 문제	중간
관리자가 Google 통합에서 셸 코드를 주입할 수 있는 문제	낮음
사용자 제한에도 불구하고 맞춤 `Admin group member` 권한이 있는 게스트가 사용자 초대를 승인할 수 있는 문제	낮음

권장 조치

아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치 환경은 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다.

제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않은 경우, 이는 모든 유형이 영향을 받는다는 의미입니다.

보안 조치 사항

CVE-2025-25291 및 CVE-2025-25292 (서드파티 젬 `ruby-saml`)

GitLab은 인스턴스 또는 그룹 수준에서 SAML SSO 인증이 활성화된 경우 GitLab이 사용하는 ruby-saml 라이브러리에서 비공개로 공개된 두 가지 보안 문제(CVE-2025-25291, CVE-2025-25292)를 해결했습니다. 이러한 문제는 GitLab.com과 GitLab CE/EE 버전 17.7.7, 17.8.5, 17.9.2에서 해결되었습니다.

SAML 인증을 사용하는 GitLab CE/EE 인스턴스에서 특정 상황에서 IdP의 유효한 서명된 SAML 문서에 접근할 수 있는 공격자가 환경의 SAML IdP 내의 다른 유효한 사용자로 인증할 수 있었습니다.

자체 관리형 GitLab: 알려진 완화 방법

즉시 GitLab CE/EE를 업데이트할 수 없는 영향을 받는 고객은 다음과 같은 완화 조치를 선택할 수 있습니다:

참고: 이 취약점을 이용하려면 공격자가 인증 우회를 수행하기 위해 유효한 사용자 계정을 탈취해야 합니다.

GitLab 자체 관리형 인스턴스의 2단계 인증을 모든 사용자 계정에 대해 활성화 (참고: ID 공급자 다중 인증을 활성화해도 이 취약점이 완화되지 않음) 그리고
GitLab에서 SAML 2단계 인증 우회 옵션을 허용하지 않음 그리고
자동으로 생성된 새 사용자에 대해 관리자 승인 필요 (gitlab_rails['omniauth_block_auto_created_users'] = true)

CVE-2025-27407 (서드파티 젬 `graphql`)

GitLab은 Ruby graphql 라이브러리에서 발견된 비공개 보안 문제(CVE-2025-27407)를 해결했습니다. 이 문제는 GitLab.com과 GitLab CE/EE 버전 17.7.7, 17.8.5, 17.9.2에서 영향을 미치고 해결되었습니다. 특정 상황에서 공격자가 제어하는 인증된 사용자 계정이 Direct Transfer 기능을 통해 악의적으로 조작된 프로젝트를 전송하려고 시도할 경우(참고: Direct Transfer는 베타 단계이며 모든 자체 관리형 GitLab 인스턴스에서 기본적으로 비활성화되어 있음) 원격 코드 실행이 가능합니다. Direct Transfer를 비활성화하면 이 문제로 인한 취약점 위험이 제거됩니다.

자체 관리형 GitLab: 알려진 완화 방법

즉시 GitLab CE/EE를 업데이트할 수 없는 영향을 받는 고객은 다음과 같은 완화 조치를 선택할 수 있습니다:

활성화된 경우 직접 전송을 통한 그룹 및 프로젝트 마이그레이션 비활성화 (기본적으로 비활성화됨)

신뢰할 수 없는 입력의 비효율적인 처리로 인한 서비스 거부

GitLab CE/EE의 모든 버전 17.7.7 이전, 17.8.5 이전의 17.8, 17.9.2 이전의 17.9에서 특정 조건에서 공격자가 시스템 재부팅을 유발할 수 있는 서비스 거부 취약점이 발견되었습니다. 이는 중간 심각도 문제입니다(CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 5.7). 최신 릴리스에서 해결되었으며 CVE-2024-13054가 할당되었습니다.

저장소 미러링 실패 시 자격 증명 노출

GitLab EE/CE의 버전 11.5부터 17.7.7 이전, 17.8부터 17.8.5 이전, 17.9부터 17.9.2 이전의 모든 버전에서 문제가 발견되었습니다. 저장소 미러링 설정의 특정 사용자 입력으로 인해 민감한 인증 정보가 노출될 수 있었습니다. 이는 중간 심각도 문제입니다(CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N, 4.4). 최신 릴리스에서 해결되었으며 CVE-2024-12380이 할당되었습니다.

제한되지 않은 필드로 인한 GitLab 승인 규칙의 서비스 거부 취약점

GitLab EE의 버전 12.3부터 17.7.7 이전, 17.8.5 이전의 17.8, 17.9.2 이전의 17.9에서 문제가 발견되었습니다. 특정 GitLab 인스턴스의 취약점으로 인해 공격자가 특정 API 입력을 조작하여 서비스 거부 상태를 유발할 수 있었습니다. 이는 중간 심각도 문제입니다(CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H, 6.5). 최신 릴리스에서 해결되었으며 CVE-2025-1257이 할당되었습니다.

리뷰 제출 시 병합 요청의 내부 노트가 비회원에게 이메일로 전송됨

GitLab EE/CE의 버전 16.9부터 17.7.7 이전, 17.8부터 17.8.5 이전, 17.9부터 17.9.2 이전의 모든 버전에서 문제가 발견되었으며, 이로 인해 권한이 없는 사용자가 내부용으로만 사용되는 기밀 정보에 접근할 수 있었습니다. 이는 중간 심각도 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N, 4.3). 최신 릴리스에서 해결되었으며 CVE-2025-0652가 할당되었습니다.

관리자가 Google 통합에서 셸 코드를 삽입할 수 있음

GitLab EE의 버전 17.2부터 17.7.7 이전, 17.8부터 17.8.5 이전, 17.9부터 17.9.2 이전의 모든 버전에서 문제가 발견되었습니다. Google Cloud IAM 통합 기능의 입력 유효성 검사 문제로 인해 관리자가 악성 코드를 도입할 수 있었습니다. 이는 낮은 심각도 문제입니다(CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:L/I:L/A:N, 3.7). 최신 릴리스에서 해결되었으며 CVE-2024-8402가 할당되었습니다.

사용자 제한에도 불구하고 사용자 지정 `Admin group member` 권한이 있는 게스트가 사용자 초대를 승인할 수 있음

GitLab EE의 버전 16.5부터 17.7.7 이전, 17.8.5 이전의 17.8, 17.9.2 이전의 17.9에서 문제가 발견되었으며, 사용자 지정 권한이 있는 사용자가 허용된 최대 사용자 수를 초과하여 대기 중인 멤버십 요청을 승인할 수 있었습니다. 이는 낮은 심각도 문제입니다(CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N, 2.7). 최신 릴리스에서 해결되었으며 CVE-2024-7296이 할당되었습니다.

PostgreSQL 버전을 14.17 및 16.8로 업그레이드

PostgreSQL 프로젝트가 업데이트를 출시하여 버전 14.17 및 16.8로 업데이트하고 있습니다.

버그 수정

17.9.2

17.8.5

프로필 컨트롤러 스펙의 오타 수정

17.7.7

이슈 컨트롤러 스펙의 오타 수정

업데이트

GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.

원문 바로가기

더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다. 지금 문의하기

권장 조치​

보안 조치 사항​

CVE-2025-25291 및 CVE-2025-25292 (서드파티 젬 ruby-saml)​

CVE-2025-27407 (서드파티 젬 graphql)​

신뢰할 수 없는 입력의 비효율적인 처리로 인한 서비스 거부​

저장소 미러링 실패 시 자격 증명 노출​

제한되지 않은 필드로 인한 GitLab 승인 규칙의 서비스 거부 취약점​

리뷰 제출 시 병합 요청의 내부 노트가 비회원에게 이메일로 전송됨​

관리자가 Google 통합에서 셸 코드를 삽입할 수 있음​

사용자 제한에도 불구하고 사용자 지정 Admin group member 권한이 있는 게스트가 사용자 초대를 승인할 수 있음​

PostgreSQL 버전을 14.17 및 16.8로 업그레이드​

버그 수정​

17.9.2​

17.8.5​

17.7.7​

업데이트​