오늘은 GitLab Community Edition(CE)와 Enterprise Edition(EE)의 17.11.2, 17.10.6, 17.9.8 버전을 출시합니다. 이 버전들은 중요한 버그 및 보안 수정사항을 포함하고 있습니다. 자체 관리형 GitLab을 사용 중인 모든 설치 환경에서 즉시 이 버전들 중 하나로 업그레이드할 것을 강력히 권장합니다. GitLab.com은 이미 패치된 버전을 실행 중입니다. GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다.
GitLab은 취약점에 대한 수정사항을 패치 릴리즈로 제공합니다. 패치 릴리즈에는 두 가지 유형이 있습니다: 예정된 릴리즈와 높은 심각도의 취약점에 대한 임시 중요 패치입니다. 예정된 릴리즈는 매월 둘째 주와 넷째 주 수요일에 두 번 제공됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ를 참조하실 수 있습니다. GitLab의 모든 릴리즈 블로그 게시물은 여기에서 확인하실 수 있습니다.
보안 수정사항의 경우, 각 취약점에 대한 상세 내용은 패치가 적용된 릴리즈 후 30일이 지나면 이슈 트래커에 공개됩니다.
GitLab은 고객에게 노출되거나 고객 데이터를 호스팅하는 모든 측면이 최고 수준의 보안 표준을 준수하도 록 보장하기 위해 최선을 다하고 있습니다. 적절한 보안 위생을 유지하기 위해, 모든 고객이 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안에 대한 더 자세한 모범 사례는 블로그 게시물에서 확인하실 수 있습니다.
이번 패치 릴리즈에서 주요 수정 사항은 다음과 같습니다.
수정사항 | 심각도 |
---|---|
교차 창 위조를 이용한 디바이스 OAuth 흐름의 부분적 우회 | 중간 |
Github Import API 악용을 통한 서비스 거부 | 중간 |
그룹 IP 제한 우회를 통한 제한된 프로젝트의 이슈 제목 노출 | 중간 |
권장 조치
아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치 환경은 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다. 제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않은 경우, 이는 모든 유형이 영향을 받는다는 의미입니다.
보안 조치 사항
교차 창 위조를 이용한 디바이스 OAuth 흐름의 부분적 우회
GitLab CE/EE에서 17.3부터 17.9.8 이전 버전, 17.10부터 17.10.6 이전 버전, 그리고 17.11부터 17.11.2 이전 버전에 영향을 미치는 문제가 발견되었습니다. 특정 조건에서 디바이스 OAuth 흐름 보호가 우회될 수 있어, 최소한의 사용자 상호작용만으로도 인증 양식 제출이 가능했습니다. 이는 중간 심각도 수준의 문제입니다(CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N
, 6.8). 최신 릴리즈에서 이 문제가 해결되었으며 CVE-2025-0549가 할당되었습니다.
Github Import API 악용을 통한 서비스 거부
GitLab CE/EE에서 17.1부터 17.9.8 이전 버전, 17.10부터 17.10.6 이전 버전, 그리고 17.11부터 17.11.2 이전 버전에 영향을 미치는 문제가 발견되었습니다. 악의적으로 조작된 페이로드를 사용한 GitHub 가져오기 요청을 통해 서비스 거부 상태를 유발할 수 있었습니다. 이는 중간 심각도 수준의 문제입니다(CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
, 6.5). 최신 릴리즈에서 이 문제가 해결되었으며 CVE-2024-8973가 할당되었습니다.
그룹 IP 제한 우회를 통한 제한된 프로젝트의 이슈 제목 노출
GitLab CE/EE에서 12.0부터 17.9.8 이전 버전, 17.10부터 17.10.6 이전 버전, 그리고 17.11부터 17.11.2 이전 버전에 영향을 미치는 문제가 발견되었습니다. 특정 조건에서 사용자가 그룹의 IP 접근 제한을 우회하여 민감한 정보를 노출할 수 있었습니다. 이는 중간 심각도 수준의 문제입니다(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
, 5.3). 최신 릴리즈에서 이 문제가 해결되었으며 CVE-2025-1278가 할당되었습니다.
버그 수정
17.11.2
- 17-11-stable-ee로 'renovate-e2e/gitlab-qa-15.x' 브랜치 병합
- [백포트] SAML 인증 만료 시 하위 그룹 검색 리디렉션 수정
- 페이지네이션 헤더를 포함하도록 MR 차이점 엔드포인트 수정
- PAT 접두사가 nil일 때 토큰 접두사 변경 문제 수정
- [백포트] 전역 zoekt 검색에서 포크 필터 적용
- [17.11] graphql gem을 2.4.13으로 업그레이드
- [백포트] SSO 적용 시 루트 소유자 확인 건너뛰기 허용
- [17.11] gitlab:doctor:encryption_keys에서 암호화된 데이터가 있는 레코드만 확인
- ci_running_builds.runner_id에 대해 비동기 삭제로 변경
- 'pb-fix-matrix-use-case' 브랜치를 'master'로 병합
- gitlab-development-kit 다이제스트를 59037d8로 업데이트
- 백포트 (17.11): Devfile gem을 0.4.3으로 업그레이드
- 백포트 (17.11): 기간에 관계없이 모든 LFK 처리 보장
- [17.11 백포트] analytics/dashboards_spec.rb의 이동 날짜 변경
- config/git: 잘못 감지된 셸 경로 수정 (17.11 백포트)
17.10.6
- [17.10] graphql gem을 2.4.13으로 업그레이드
- [17.10] gitlab:doctor:encryption_keys에서 암호화된 데이터가 있는 레코드만 확인
- ci_running_builds.runner_id에 대해 비동기 삭제로 변경
- gitlab-development-kit 다이제스트를 59037d8로 업데이트
- 백포트 (17.10): Devfile gem을 0.4.3으로 업그레이드
- '8995-json-parse-utf8'를 '17-10-stable'로 체리픽
17.9.8
- [17.9] graphql gem을 2.4.13으로 업그레이드
- [17.9] gitlab:doctor:encryption_keys에서 암호화된 데이터가 있는 레코드만 확인
- gitlab-development-kit 다이제스트를 59037d8로 업데이트
- 백포트 (17.9): devfile gem을 v0.4.3으로 업그레이드