오늘은 GitLab Community Edition(CE)와 Enterprise Edition(EE)의 17.11.1, 17.10.5, 17.9.7 버전을 출시합니다. 이 버전들은 중요한 버그 및 보안 수정사항을 포함하고 있습니다. 자체 관리형 GitLab을 사용 중인 모든 설치 환경에서 즉시 이 버전들 중 하나로 업그레이드할 것을 강력히 권장합니다. GitLab.com은 이미 패치된 버전을 실행 중입니다. GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다.

GitLab은 취약점에 대한 수정사항을 패치 릴리즈로 제공합니다. 패치 릴리즈에는 두 가지 유형이 있습니다: 예정된 릴리즈와 높은 심각도의 취약점에 대한 임시 중요 패치입니다. 예정된 릴리즈는 매월 둘째 주와 넷째 주 수요일에 두 번 제공됩니다. 자세한 내용은 릴리즈 핸드북보안 FAQ를 참조하실 수 있습니다. GitLab의 모든 릴리즈 블로그 게시물은 여기에서 확인하실 수 있습니다.

보안 수정사항의 경우, 각 취약점에 대한 상세 내용은 패치가 적용된 릴리즈 후 30일이 지나면 이슈 트래커에 공개됩니다.

GitLab은 고객에게 노출되거나 고객 데이터를 호스팅하는 모든 측면이 최고 수준의 보안 표준을 준수하도록 보장하기 위해 최선을 다하고 있습니다. 적절한 보안 위생을 유지하기 위해, 모든 고객이 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안에 대한 더 자세한 모범 사례는 블로그 게시물에서 확인하실 수 있습니다.

이번 패치 릴리즈에서 주요 수정 사항은 다음과 같습니다.

수정사항심각도
CSP 지시문을 통한 Maven 종속성 프록시의 크로스 사이트 스크립팅 (XSS)높음
캐시 헤더를 통한 Maven 종속성 프록시의 크로스 사이트 스크립팅 (XSS)높음
Maven 종속성 프록시의 네트워크 오류 로깅(NEL) 헤더 인젝션으로 인한 브라우저 활동 모니터링 가능높음
이슈 미리보기를 통한 서비스 거부 공격(DOS)중간
저장소 자산이 비활성화된 프로젝트에서 브랜치 이름에 대한 무단 접근중간

권장 조치

아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치 환경은 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다. 제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않은 경우, 이는 모든 유형이 영향을 받는다는 의미입니다.

보안 조치 사항

CSP 지시문을 통한 Maven 종속성 프록시의 크로스 사이트 스크립팅 (XSS)

GitLab EE에서 특정 조건에서 사용자의 브라우저에서 크로스 사이트 스크립팅 공격과 콘텐츠 보안 정책 우회를 허용하는 문제가 발견되었습니다. 이는 16.6부터 17.9.7 이전, 17.10.5 이전의 17.10, 그리고 17.11.1 이전의 17.11 버전에 영향을 미칩니다. 이는 높은 심각도 수준의 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N, 8.7). 최신 릴리즈에서 이 문제가 해결되었으며 CVE-2025-1763가 할당되었습니다.

캐시 헤더를 통한 Maven 종속성 프록시의 크로스 사이트 스크립팅 (XSS)

GitLab EE에서 특정 조건에서 사용자의 브라우저에서 크로스 사이트 스크립팅 공격과 콘텐츠 보안 정책 우회를 허용하는 문제가 발견되었습니다. 이는 16.6부터 17.9.7 이전, 17.10.5 이전의 17.10, 그리고 17.11.1 이전의 17.11 버전에 영향을 미칩니다. 이는 높은 심각도 수준의 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N, 8.7). 최신 릴리즈에서 이 문제가 해결되었으며 CVE-2025-2443가 할당되었습니다.

HackerOne 버그 바운티 프로그램을 통해 이 취약점을 보고해 주신 joaxcar님께 감사드립니다.

Maven 종속성 프록시의 네트워크 오류 로깅(NEL) 헤더 인젝션으로 인한 브라우저 활동 모니터링 가능

GitLab EE/CE에서 공격자가 사용자의 브라우징 활동을 추적하여 잠재적으로 계정 탈취로 이어질 수 있는 문제가 발견되었습니다. 이는 16.6부터 17.9.7 이전, 17.10.5 이전의 17.10, 그리고 17.11.1 이전의 17.11 버전에 영향을 미칩니다. 이는 높은 심각도 수준의 문제입니다(CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N, 7.7). 최신 릴리즈에서 이 문제가 해결되었으며 CVE-2025-1908가 할당되었습니다.

이슈 미리보기를 통한 서비스 거부 공격(DOS)

GitLab CE/EE의 이슈 미리보기를 통한 서비스 가용성에 영향을 미치는 문제가 발견되었습니다. 이는 16.7부터 17.9.7 이전, 17.10.5 이전의 17.10, 그리고 17.11.1 이전의 17.11 버전에 영향을 미칩니다. 이는 중간 심각도 수준의 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, 6.5). 최신 릴리즈에서 이 문제가 해결되었으며 CVE-2025-0639가 할당되었습니다.

저장소 자산이 비활성화된 프로젝트에서 브랜치 이름에 대한 무단 접근

GitLab EE의 접근 제어에서 관련 기능이 비활성화되어 있을 때도 사용자가 특정 제한된 프로젝트 정보를 볼 수 있는 문제가 발견되었습니다. 이는 17.7부터 17.9.7 이전, 17.10.5 이전의 17.10, 그리고 17.11.1 이전의 17.11 버전에 영향을 미칩니다. 이는 중간 심각도 수준의 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N, 4.3). 최신 릴리즈에서 이 문제가 해결되었으며 CVE-2024-12244가 할당되었습니다.

버그 수정

17.11.1

17.10.5

17.9.7

업데이트

GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.

원문 바로가기

더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다. 지금 문의하기