오늘은 GitLab Community Edition(CE)와 Enterprise Edition(EE)의 18.0.2, 17.11.4, 17.10.8 버전을 출시합니다. 이 버전들은 중요한 버그 및 보안 수정사항을 포함하고 있습니다. 자체 관리형 GitLab을 사용 중인 모든 설치 환경에서 즉시 이 버전들 중 하나로 업그레이드할 것을 강력히 권장합니다. GitLab.com은 이미 패치된 버전을 실행 중입니다. GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다.
GitLab은 취약점에 대한 수정사항을 패치 릴리즈로 제공합니다. 패치 릴리즈에는 두 가지 유형이 있습니다: 예정된 릴리즈와 높은 심각도의 취약점에 대한 임시 중요 패치입니다. 예정된 릴리즈는 매월 둘째 주와 넷째 주 수요일에 두 번 제공됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ를 참조하실 수 있습니다. GitLab의 모든 릴리즈 블로그 게시물은 여기에서 확인하실 수 있습니다.
보안 수정사항의 경우, 각 취약점에 대한 상세 내용은 패치가 적용된 릴리즈 후 30일이 지나면 이슈 트래커에 공개됩니다.
GitLab은 고객에게 노출되거나 고객 데이터를 호스팅하는 모든 측면이 최고 수준의 보안 표준을 준수하도록 보장하기 위해 최선을 다하고 있습니다. 적절한 보안 위생을 유지하기 위해, 모든 고객이 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안에 대한 더 자세한 모범 사례는 블로그 게시물에서 확인하실 수 있습니다.
권장 조치
아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치 환경은 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다. 제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않은 경우, 이는 모든 유형이 영향을 받는다는 의미입니다.
보안 조치 사항
이번 패치 릴리즈에서 주요 수정 사항은 다음과 같습니다.
| 수정사항 | 심각도 |
|---|---|
| GitLab CE/EE에 영향을 미치는 HTML 인젝션 | 높음 |
| GitLab CE/EE에 영향을 미치는 크로스 사이트 스크립팅 이슈 | 높음 |
| GitLab Ultimate EE에 영향을 미치는 인증 누락 이슈 | 높음 |
| GitLab CE/EE에 영향을 미치는 서비스 거부 | 높음 |
| GitLab CE/EE에 영향을 미치는 무제한 웹훅 토큰 이름으로 인한 서비스 거부 | 중간 |
| GitLab CE/EE에 영향을 미치는 무제한 보드 이름으로 인한 서비스 거부 | 중간 |
| GitLab CE/EE에 영향을 미치는 정보 노출 이슈 | 중간 |
| GitLab CE/EE�에 영향을 미치는 제어되지 않은 HTTP 응답 처리로 인한 서비스 거부(DoS) | 중간 |
| GitLab CE/EE에 영향을 미치는 인증 우회를 통한 정보 노출 | 중간 |
| 그룹 IP 제한 우회를 통한 민감한 정보 노출 | 낮음 |
CVE-2025-4278 - GitLab CE/EE에 영향을 미치는 HTML 인젝션
GitLab은 특정 조건에서 공격자가 검색 페이지에 코드를 주입하여 계정 탈취를 할 수 있었던 문제를 해결했습니다.
영향을 받는 버전 GitLab CE/EE: 18.0부터 18.0.2 이전의 모든 버전.
CVSS: 8.7 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N)
CVE-2025-2254 - GitLab CE/EE에 영향을 미치는 크로스 사이트 스크립팅 이슈
GitLab은 특정 조건에서 공격자가 스니펫 뷰어에 악성 스크립트를 주입하여 정상 사용자의 컨텍스트에서 작업을 수행할 수 있었던 문제를 해결했습니다.
영향을 받는 버전 GitLab CE/EE: 17.9부터 17.10.8 이전, 17.11부터 17.11.4 이전, 18.0부터 18.0.2 이전의 모든 버전
CVSS 8.7 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N)
CVE-2025-5121 - GitLab Ultimate EE에 영향을 미치는 인증 누락 이슈
GitLab은 특정 조건에서 GitLab Ultimate 라이선스가 적용된(유료 고객 또는 평가판) GitLab 인스턴스에 인증된 접근 권한을 가진 공격자가 모든 프로젝트의 향후 CI/CD 파이프라인에 악성 CI/CD 작업을 주입할 수 있었던 문제를 해결했습니다.
영향을 받는 버전 GitLab Ultimate EE: 17.11부터 17.11.4 이전, 18.0부터 18.0.2 이전 버전.
CVSS 8.5 (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H)
CVE-2025-0673 - GitLab CE/EE에 영향을 미치는 서비스 거부
GitLab은 공격자가 서버의 메모리 소진을 유발하는 무한 리다이렉트 루프를 트리거하여 정상 사용자의 접근을 거부할 수 있었던 문제를 해결했습니다.
영향을 받는 버전 GitLab CE/EE: 17.7부터 17.10.8 이전, 17.11부터 17.11.4 이전, 18.0부터 18.0.2 이전의 모든 버전
CVSS 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
CVE-2025-1516 - GitLab CE/EE에 영향을 미치는 무제한 웹훅 토큰 이름으로 인한 서비스 거부
GitLab은 공격자가 충분히 큰 이름의 토큰을 생성하여 정상 사용자의 시스템 접근을 거부할 수 있었던 문제를 해결했습니다.
영향을 받는 버전 GitLab CE/EE: 8.7부터 17.10.8 이전, 17.11부터 17.11.4 이전, 18.0부터 18.0.2 이전의 모든 버전
CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
CVE-2025-1478 - GitLab CE/EE에 영향을 미치는 무제한 보드 이름으로 인한 서비스 거부
GitLab은 공격자가 충분히 큰 크기의 보드 이름을 생성하여 정상 사용자의 시스템 접근을 거부할 수 있었던 문제를 해결했습니다.
영향을 받는 버전 GitLab CE/EE: 8.13부터 17.10.7 이전, 17.11부터 17.11.3 이전, 18.0부터 18.0.1 이전의 모든 버전
CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
CVE-2024-9512 - GitLab CE/EE에 영향을 미치는 정보 노출 이슈
GitLab은 특정 조건에서 보조 노드가 동기화되지 않은 상태일 때 공격자가 시간 제한이 있는 클론 요청을 보내 정상 사용자의 비공개 저장소를 클론할 수 있었던 문제를 해결했습니다.
영향을 받는 버전 GitLab CE/EE: 17.10.8 이전의 모든 버전, 17.11.4 이전의 17.11 버전, 18.0.2 이전의 18.0 버전
CVSS 5.3 (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N)
CVE-2025-5996 - GitLab CE/EE에 영향을 미치는 제어되지 않은 HTTP 응답 처리로 인한 서비스 거부(DoS)
GitLab은 공격자가 악성 서드파티 컴포넌트를 GitLab 프로젝트에 통합하여 정상 사용자의 시스템 접근을 거부할 수 있었던 문제를 해결했습니다.
영향을 받는 버전 GitLab CE/EE: 2.1.0부터 17.10.8 이전, 17.11부터 17.11.4 이전, 18.0부터 18.0.2 이전 버전
CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
CVE-2025-5195 - GitLab CE/EE에 영향을 미치는 인증 우회를 통한 정보 노출
GitLab은 인증된 사용자가 임의의 컴플라이언스 프레임워크에 접근하여 자신의 권한 범위를 넘어선 데이터에 접근할 수 있었던 문제를 해결했습니다.
영향을 받는 버전 GitLab CE/EE: 17.9부터 17.10.7 이전, 17.11부터 17.11.3 이전, 18.0부터 18.0.1 이전의 모든 버전
CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)
CVE-2025-5982 - 그룹 IP 제한 우회를 통한 민감한 정보 노출
GitLab은 공격자가 IP 접근 제한을 우회하여 민감한 그룹 정보를 볼 수 있었던 문제를 해결했습니다.
영향을 받는 버전 GitLab EE: 12.0부터 17.10.8 이전, 17.11부터 17.11.4 이전, 18.0부터 18.0.2 이전 버전.
CVSS 3.7 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N)
버그 수정
18.0.2
- fork_networks organization_id NOT NULL을 post-migrate로 이동
- [백포트] Zoekt: 노드가 온라인 상태일 때만 검색 활성화
- 18-0-stable-ee: 페이지 배포 파일명을 60자로 제한
- 편집 드롭다운에서 누락된 gitpod 버튼 수정
- [백포트] Elastic::MigrationWorker가 마이그레이션 인덱스를 생성하지 않도록 수정
- 서비스 핑의 duo_core_features_enabled 메트릭에 대한 운영 데이터 카테고리 백포트
- [백포트] 이전 코드 드롭다운에서 IDE 링크가 about:blank를 반환하는 문제 수정
- duo todo일 때 todo API의 제목/본문 ��문제 수정
- 18.0 "새로운 기능" 항목 추가
- [백포트] mark_all_as_completed! 메서드가 중단된 캐시를 삭제하고 halted: false를 저장하도록 수정
- "No such column: geo_nodes.verification_max_capacity" 오류 수정
- [백포트] 18.0: 'dj-stable-branch-dont-fail-e2e' 브랜치를 'master'로 병합
- [백포트] 18.0: 'dj-refactor-semgrep-ci' 브랜치를 'master'로 병합
- [백포트] 18.0: tier 1 백포트 MR에서 e2e:test-on-omnibus-ee 제거
- libarchive 체크섬 스크립트 수정 (18.0 백포트)
- 태그 전용 CI 작업 정의 변경 시 경고 표시
- 19.0으로 사용 중단 연기 백포트
17.11.4
- [백포트] 17.11: 백포트 MR 파이프라인에서 jest vue3 검사 격리 작업 제거
- 17-11-stable-ee: 페이지 배포 파일명을 60자로 제한
- 편집 드롭다운에서 누락된 gitpod 버튼 수정
- [백포트] 17.11: 'dj-stable-branch-dont-fail-e2e' 브랜치를 'master'로 병합
- '535187-fix-console-errors'를 '17-11-stable-ee'로 병합
- ci_runner_taggings 테이블 마이그레이션 시도 (2차)
- [백포트] 17.11: tier 1 백포트 MR에서 e2e:test-on-omnibus-ee 제거
- [백포트] 17.11: 'dj-refactor-semgrep-ci' 브랜치를 'master'로 병합
- libarchive 체크섬 스크립트 수정 (17.11 백포트)
17.10.8
- [백포트] 17.10: 백포트 MR 파이프라인에서 jest vue3 검사 격리 작업 제거
- 편집 드롭다운에서 누락된 gitpod 버튼 수정
- [백포트] 17.10: 'dj-stable-branch-dont-fail-e2e' 브랜치를 'master'로 병합
- ci_runner_taggings 테이블 마이그레이션 시도 (2차)
- [백포트] 17.10: 'dj-refactor-semgrep-ci' 브랜치를 'master'로 병합
- [백포트] 17.10: tier 1 백포트 MR에서 e2e:test-on-omnibus-ee 제거
- libarchive 체크섬 스크립트 수정 (17.10 백포트)
업데이트
GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.
더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다. 지금 문의하기