오늘은 GitLab Community Edition(CE)와 Enterprise Edition(EE)의 17.9.2, 17.8.5, 17.7.7 버전을 출시합니다. 이 버전들은 중요한 버그 및 보안 수정사항을 포함하고 있으며, 자체 관리형 GitLab을 사용 중인 모든 설치 환경에서 즉시 이 버전들 중 하나로 업그레이드할 것을 강력히 권장합니다. GitLab.com은 이미 패치된 버전을 실행 중입니다. GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다.
GitLab은 취약점에 대한 수정사항을 패치 릴리즈로 제공합니다. 패치 릴리즈에는 두 가지 유형이 있습니다: 예정된 릴리즈와 높은 심각도의 취약점에 대한 임시 중요 패치입니다. 예정된 릴리즈는 매월 둘째 주와 넷째 주 수요일에 두 번 제공됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ를 참조하실 수 있습니다. GitLab의 모든 릴리즈 블로그 게시물은 여기에서 확인하실 수 있습니다.
보안 수정사항의 경우, 각 취약점에 대한 상세 내용은 패치가 적용된 릴리즈 후 30일이 지나면 이슈 트래커에 공개됩 니다.
GitLab은 고객에게 노출되거나 고객 데이터를 호스팅하는 모든 측면이 최고 수준의 보안 표준을 준수하도록 보장하기 위해 최선을 다하고 있습니다. 적절한 보안 위생을 유지하기 위해, 모든 고객이 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안에 대한 더 자세한 모범 사례는 블로그 게시물에서 확인하실 수 있습니다.
이번 패치 릴리즈에서 주요 수정 사항은 다음과 같습니다.
수정사항 | 심각도 |
---|---|
CVE-2025-25291 및 CVE-2025-25292 (서드파티 젬 ruby-saml ) | 심각 |
CVE-2025-27407 (서드파티 젬 graphql ) | 높음 |
신뢰할 수 없는 입력의 비효율적 처리로 인한 서비스 거부 | 중간 |
저장소 미러링 실패 시 자격 증명 노출 | 중간 |
제한되지 않은 필드로 인한 GitLab 승인 규칙의 서비스 거부 취약점 | 중간 |
리뷰 제출 시 병합 요청의 내부 노트가 비회원에게 이메일로 전송되는 문제 | 중간 |
관리자가 Google 통합에서 셸 코드를 주입할 수 있는 문제 | 낮음 |
사용자 제한에도 불구하고 맞춤 Admin group member 권한이 있는 게스트가 사용자 초대를 승인할 수 있는 문제 | 낮음 |