오늘은 GitLab Community Edition(CE)와 Enterprise Edition(EE)의 17.10.4, 17.9.6, 17.8.7 버전을 출시합니다. 이 버전들은 중요한 버그 및 보안 수정사항을 포함하고 있습니다. 자체 관리형 GitLab을 사용 중인 모든 설치 환경에서 즉시 이 버전들 중 하나로 업그레이드할 것을 강력히 권장합니다. GitLab.com은 이미 패치된 버전을 실행 중입니다. GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다.
GitLab은 취약점에 대한 수정사항을 패치 릴리즈로 제공합니다. 패치 릴리즈에는 두 가지 유형이 있습니다: 예정된 릴리즈와 높은 심각도의 취약점에 대한 임시 중요 패치입니다. 예정된 릴리즈는 매월 둘째 주와 넷째 주 수요일에 두 번 제공됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ를 참조하실 수 있습니다. GitLab의 모든 릴리즈 블로그 게시물은 여기에서 확인하실 수 있습니다.
보안 수정사항의 경우, 각 취약점에 대한 상세 내용은 패치가 적용된 릴리즈 후 30일이 지나면 이슈 트래커에 공개됩니다.
GitLab은 고객에게 노출되거나 고객 데이터를 호스팅하는 모든 측면이 최고 수준의 보안 표준을 준수하도록 보장하기 위해 최선을 다하고 있습니다. 적절한 보안 위생을 유지하기 위해, 모든 고객이 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안에 대한 더 자세한 모범 사례는 블로그 게시물에서 확인하실 수 있습니다.
이번 패치 릴리즈에서 주요 수정 사항은 다음과 같습니다.
| 수정사항 | 심각도 |
|---|---|
| CI 파이프라인을 통한 서비스 거부 | 중간 |
| 사용자 대신 의도치 않은 민감한 작업 승인 | 중간 |
| GraphQL 구독을 통한 IP 제한 우회 | 중간 |
| 비인가 사용자의 기밀 이슈 수 조회 가능 | 중간 |
| 디버깅 정보 노출 | 낮음 |
권장 조치
아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치 환경은 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다. 제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않은 경우, 이는 모든 유형이 영향을 받는다는 의미입니다.
보안 조치 사항
CI 파이프라인을 통한 서비스 거부 공격
GitLab CE/EE에서 17.8.7 이하, 17.9.6 이전의 17.9 버전, 그리고 17.10.4 이전의 17.10 버전에 영향을 미치는 서비스 거부(DoS) 취약점이 발견되었습니다. CI 파이프라인 내보내기에 과도하게 큰 페이로드를 주입할 경우 서비스 거부가 발생할 수 있습니다. 이는 중간 심각도 수준의 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5). 최신 릴리즈에서 이 문제가 해결되었으며 CVE-2025-1677이 할당되었습니다.
사용자 대신 의도치 않은 민감한 작업 승인
GitLab CE/EE의 버전 7.7부터 17.8.7 이전, 17.9.6 이전의 17.9, 그리고 17.10.4 이전의 17.10 버전에 영향을 미치는 문제가 발견되었습니다. 특정 조건에서 공격자가 사용자를 속여 의도치 않게 민감한 작업을 승인하도록 할 수 있습니다. 이는 중간 심각도 수준의 문제입니다(CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:N, 6.4). 최신 릴리즈에서 이 문제가 해결되었으며 CVE-2025-0362가 할당되었습니다.
GraphQL 구독을 통한 IP 제한 우회
GitLab CE/EE의 버전 13.12부터 17.8.7 이전, 17.9.6 이전의 17.9, 그리고 17.10.4 이전의 17.10 버전에 영향을 미치는 문제가 발견되었습니다. 특정 조건에서 사용자가 IP 접근 제한을 우회하여 민감한 정보를 볼 수 있습니다. 이는 중간 심각도 수준의 문제입니다(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N, 5.3). 최신 릴리즈에서 이 문제가 해결되었으며 CVE-2025-2408이 할당되었습니다.
비인가 사용자의 기밀 이슈 수 조회 가능
GitLab EE의 버전 17.1부터 17.8.7 이전, 17.9.6 이전의 17.9, 그리고 17.10.4 이전의 17.10 버전에 영향을 미치는 문제가 발견되었습니다. 공격자가 민감한 키워드로 대상을 지정한 검색을 수행하여 검색된 용어가 포함된 이슈의 수를 확인할 수 있습니다. 이는 중간 심각도 수준의 문제입니다(CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N, 5.3). 최신 릴리즈에서 이 문제가 해결되었으며 CVE-2024-11129가 할당되었습니다.
디버깅 정보 노출
GitLab CE/EE의 17.9.6 이전의 17.9 버전과 17.10.4 이전의 17.10 버전에 영향을 미치는 문제가 발견되었습니다. 특정 서비스의 런타임 프로파일링 데이터가 인증되지 않은 사용자도 접근 가능했습니다. 이는 낮은 심각도 수준의 문제입니다(CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N, 3.7). 최신 릴리즈에서 이 문제가 해결되었으며 CVE-2025-2469가 할당되었습니다.
버그 수정
17.10.4
- 17.10에 여러 수정사항 체리픽
- 스캔 실행 정책에 대한 잘못된 파이프라인 수정
- group.cluster_agents 필드를 CE로 이동
- 보고서 프로젝트가 있는 병합 요청 URL 업데이트 수정
- 승인 정책을 포함하도록 승인 규칙 이름 유효성 검사 업데이트
- Workhorse golang-jwt/jwt를 5.2.2 버전으로 업그레이드
- Golang Oauth2를 0.27.0 버전으로 업�그레이드
17.9.6
17.8.7
- CI: DinD에서 gcr 미러 사용 (17.8 백포트)
- ci_runner_machines_687967fa8a 일괄 마이그레이션 no-op - 17.8 백포트
- 버그 수정사항을 17.8에 체리픽
- CI를 위한 libarchive 수정사항 백포트
- CI: DinD용 gcr 미러 사용 (17.8 백포트)
- [17.8 백포트] 패키지에 .dind 작업이 범위에 없는지 확인
- CI: 선택적으로 종속성 프록시 활성화 (17.8 백포트)
- Workhorse golang-jwt/jwt를 5.2.2 버전으로 업그레이드
업데이트
GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.
더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다. 지금 문의하기