오늘은 GitLab Community Edition(CE)와 Enterprise Edition(EE)의 17.10.1, 17.9.3, 17.8.6 버전을 출시합니다. 이 버전들은 중요한 버그 및 보안 수정사항을 포함하고 있습니다. 자체 관리형 GitLab을 사용 중인 모든 설치 환경에서 즉시 이 버전들 중 하나로 업그레이드할 것을 강력히 권장합니다. GitLab.com은 이미 패치된 버전을 실행 중입니다. GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다.
GitLab은 취약점에 대한 수정사항을 패치 릴리즈로 제공합니다. 패치 릴리즈에는 두 가지 유형이 있습니다: 예정된 릴리즈와 높은 심각도의 취약점에 대한 임시 중요 패치입니다. 예정된 릴리즈는 매월 둘째 주와 넷째 주 수요일에 두 번 제공됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ를 참조하실 수 있습니다. GitLab의 모든 릴리즈 블로그 게시물은 여기에서 확인하실 수 있습니다.
보안 수정사항의 경우, 각 취약점에 대한 상세 내용은 패치가 적용된 릴리즈 후 30일이 지나면 이슈 트래커에 공개됩니다.
GitLab은 고객에게 노출되거나 고객 데이터를 호스팅하는 모든 측면이 최고 수준의 보안 표준을 준수하도록 보장하기 위해 최선을 다하고 있습니다. 적절한 보안 위생을 유지하기 위해, 모든 고객이 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안에 대한 더 자세한 모범 사례는 블로그 게시물에서 확인하실 수 있습니다.
이번 패치 릴리즈에서 주요 수정 사항은 다음과 같습니다.
수정사항 | 심각도 |
---|---|
병합 요청 오류 메시지를 통한 크로스 사이트 스크립팅 (XSS) | 높음 |
특정 파일 유형의 부적절한 렌더링으로 인한 크로스 사이트 스크립팅 (XSS) | 높음 |
역할이 취소된 후에도 관리자 권한이 유지되는 문제 | 높음 |
외부 사용자의 내부 프로젝트 접근 | 중간 |
Amazon Q 통합에서의 프롬프트 인젝션으로 인한 무단 작업 가능성 | 중간 |
병합 요청의 악의적으로 조작된 테라폼 파일을 통한 제어되지 않은 리소스 소비 | 중간 |
헬퍼 스크립트 사용 시 Harbor 프로젝트 이름 구성에서 메인테이너의 셸 코드 주입 가능성 | 낮음 |
권장 조치
아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치 환경은 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다.
제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않은 경우, 이는 모든 유형이 영향을 받는다는 의미입니다.
보안 조치 사항
병합 요청 오류 메시지를 통한 크로스 사이트 스크립팅 (XSS)
GitLab EE/CE의 13.5.0부터 17.8.6 이전 버전, 17.9의 17.9.3 이전 버전, 17.10의 17.10.1 이전 버전에 영향을 미치는 문제가 발견되었습니다. 특정 오류 메시지가 크로스 사이트 스크립팅 공격(XSS)을 허용할 수 있습니다. 이는 심각도가 높은 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
, 8.7). 최신 릴리스에서 수정되었으며 CVE-2025-2255가 할당되었습니다.
특정 파일 유형의 부적절한 렌더링으로 인한 크로스 사이트 스크립팅 (XSS)
GitLab CE/EE의 17.7부터 17.8.6 이전 버전, 17.9의 17.9.3 이전 버전, 17.10의 17.10.1 이전 버전에 영향을 미치는 문제가 발견되었습니다. 특정 파일 유형의 부적절한 렌더링으로 인해 크로스 사이트 스크립팅이 발생할 수 있습니다. 이는 심각도가 높은 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
, 8.7). 최신 릴리스에서 수정되었으며 CVE-2025-0811이 할당되었습니다.
역할이 취소된 후에도 관리자 권한이 유지되는 문제
GitLab CE/EE의 17.4부터 17.8.6 이전 버전, 17.9의 17.9.3 이전 버전, 17.10의 17.10.1 이전 버전에 영향을 미치는 부적절한 접근 제어 취약점으로 인해, 이전에 인스턴스 관리자였다가 일반 사용자로 강등된 사용자가 계속해서 그룹과 프로젝트에 대한 상승된 권한을 유지할 수 있습니다. 이는 심각도가 높은 문제입니다(CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
, 7.5). 최신 릴리스에서 수정되었으며 CVE-2025-2242가 할당되었습니다.
외부 사용자의 내부 프로젝트 접근
GitLab CE/EE의 16.0부터 17.8.6 이전 버전, 17.9의 17.9.3 이전 버전, 17.10의 17.10.1 이전 버전에서 내부 사용자가 내부 프로젝트에 대한 무단 접근을 할 수 있는 문제가 발견되었습니다. 이는 중간 심각도의 문제입니다(CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:L/A:N
, 5.2). 최신 릴리스에서 수정되었으며 CVE-2024-12619가 할당되었습니다.
Amazon Q 통합에서의 프롬프트 인젝션으로 인한 무단 작업 가능성
GitLab Duo와 Amazon Q의 17.8부터 17.8.6 이전 버전, 17.9의 17.9.3 이전 버전, 17.10의 17.10.1 이전 버전에 영향을 미치는 문제가 발견되었습니다. 특별히 조작된 이슈가 AI 지원 개발 기능을 조작하여 권한이 없는 사용자에게 민감한 프로젝트 데이터를 노출시킬 수 있습니다. 이는 중간 심각도의 문제입니다(CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N
, 4.4). CVE ID를 요청했으며 할당되면 이 블로그 포스트를 업데이트할 예정입니다.
병합 요청의 악의적으로 조작된 테라폼 파일을 통한 제어되지 않은 리소스 소비
GitLab EE/CE의 12.10부터 17.8.6 이전 버전, 17.9의 17.9.3 이전 버전, 17.10의 17.10.1 이전 버전에 영향을 미치는 문제가 발견되었습니다. 악의적으로 조작된 파일이 관련 병합 요청을 볼 때 제어되지 않은 CPU 소비를 유발할 수 있습니다. 이는 중간 심각도의 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
, 4.3). 최신 릴리스에서 수정되었으며 CVE-2024-10307이 할당되었습니다.
헬퍼 스크립트 사용 시 Harbor 프로젝트 이름 구성에서 메인테이너의 셸 코드 주입 가능성
GitLab EE의 14.9부터 17.8.6 이전 버전, 17.9의 17.8.3 이전 버전, 17.10의 17.10.1 이전 버전에 영향을 미치는 문제가 발견되었습니다. Harbor 레지스트리 통합의 입력 유효성 검사 문제로 인해 메인테이너가 UI에 표시되는 CLI 명령에 악성 코드를 추가할 수 있었습니다. 이는 낮은 심각도의 문제입니다(CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:L/I:L/A:N
, 3.7). 최신 릴리스에서 수정되었으며 CVE-2024-9773이 할당되었습니다.
버그 수정
17.10.1
17.9.3
- Go 버전을 1.23.6으로 업그레이드
- 비 UBI 기반 수정사항을 '17-9-stable' 브랜치에 병합
- 17.9 백포트: jliu/gitaly-dns-tls
- 17.9 백포트: build-proto-gem 업데이트
- [17.9 백포트] 커스텀 분석기의 고정 배열 오류 수정
- gitlab-mail_room 의존성을 v0.0.27로 업데이트
- [백포트] 특정 조건에서 정규식 및 구문 옵션 버튼 수정
- [17.9] 백포트: Zoekt: 삭제 대기 중인 프로젝트 인덱싱
- [17.9 백포트] truncato gem 업데이트
- 러너 백필 마이그레이션 순서 재조정 - 17.9 백포트
- [17.9 백포트] #test-platform을 #s_developer_experience로 대체
- DNS 조회 변경사항이 포함된 Gitaly 클라이언트 의존성 업데이트 (17.9 백포트)
- 'ci-internal-release-docker-branch-dev'를 '17-9-stable'에 백포트
- 17.9 백포트: container-registry를 v4.15.2-gitlab으로 업데이트
17.8.6
- UBI/FIPS: gitlab-base를 사용하지 않을 때 container_version 수정
- 17.8 백포트: jliu/gitaly-dns-tls
- merge_requests_controller_spec의 오타 수정
- DNS 조회 변경사항이 포함된 Gitaly 클라이언트 의존성 업데이트 (17.8 백포트)
- [17.8 백포트] #test-platform을 #s_developer_experience로 대체
- 17.8의 SPP 워커 버그 수정
- 러너 백필 마이그레이션 순서 재조정 - 17.8 백포트
- 'ci-internal-release-docker-branch-dev'를 '17-8-stable'에 백포트
업데이트
GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.
더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다. 지금 문의하기