GitLab 주요 보안 패치 릴리즈 18.1.1, 18.0.3, 17.11.5

오늘은 GitLab Community Edition(CE)와 Enterprise Edition(EE)의 18.1.1, 18.0.3, 17.11.5 버전을 출시합니다. 이 버전들은 중요한 버그 및 보안 수정사항을 포함하고 있습니다. 자체 관리형 GitLab을 사용 중인 모든 설치 환경에서 즉시 이 버전들 중 하나로 업그레이드할 것을 강력히 권장합니다. GitLab.com은 이미 패치된 버전을 실행 중입니다. GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다.

GitLab은 취약점에 대한 수정사항을 패치 릴리즈로 제공합니다. 패치 릴리즈에는 두 가지 유형이 있습니다: 예정된 릴리즈와 높은 심각도의 취약점에 대한 임시 중요 패치입니다. 예정된 릴리즈는 매월 둘째 주와 넷째 주 수요일에 두 번 제공됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ를 참조하실 수 있습니다. GitLab의 모든 릴리즈 블로그 게시물은 여기에서 확인하실 수 있습니다.

보안 수정사항의 경우, 각 취약점에 대한 상세 내용은 패치가 적용된 릴리즈 후 30일이 지나면 이슈 트래커에 공개됩니다.

GitLab은 고객에게 노출되거나 고객 데이터를 호스팅하는 모든 측면이 최고 수준의 보안 표준을 준수하도록 보장하기 위해 최선을 다하고 있습니다. 적절한 보안 위생을 유지하기 위해, 모든 고객이 지원되는 버전의 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안에 대한 더 자세한 모범 사례는 블로그 게시물에서 확인하실 수 있습니다.

---

권장 조치

아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치 환경은 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다. 제품의 특정 배포 유형(옴니버스, 소스 코드, 헬름 차트 등)이 언급되지 않은 경우, 이는 모든 유형이 영향을 받는다는 의미입니다.

---

보안 조치 사항

이번 패치 릴리즈에서 주요 수정 사항은 다음과 같습니다.

제목	심각도
GitLab CE/EE에 영향을 미치는 서비스 거부	중간
GitLab CE/EE에 영향을 미치는 인증 누락 문제	중간
GitLab CE/EE에 영향을 미치는 부적절한 접근 제어 문제	중간
GitLab CE/EE에 영향을 미치는 권한 상승	낮음
GitLab EE에 영향을 미치는 부적절한 접근 제어 문제	낮음

CVE-2025-3279 - GitLab CE/EE에 영향을 미치는 서비스 거부

GitLab은 특정 조건에서 인증된 공격자가 조작된 GraphQL 요청을 보내 DoS 상태를 일으킬 수 있었던 문제를 해결했습니다.

영향 받는 버전: GitLab CE/EE: 10.7부터 17.11.5 이전, 18.0부터 18.0.3 이전, 18.1부터 18.1.1 이전의 모든 버전.

CVSS: 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

CVE-2025-1754 - GitLab CE/EE에 영향을 미치는 인증 누락 문제

GitLab은 인증되지 않은 공격자가 조작된 API 요청을 보내 공개 프로젝트에 임의의 파일을 업로드할 수 있었던 문제를 해결했습니다. 이로 인해 리소스 남용 및 무단 콘텐츠 저장이 발생할 수 있었습니다.

영향 받는 버전: GitLab CE/EE: 17.2부터 17.11.5 이전, 18.0부터 18.0.3 이전, 18.1부터 18.1.1 이전의 모든 버전.

CVSS: 5.3 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)

CVE-2025-5315 - GitLab CE/EE에 영향을 미치는 부적절한 접근 제어 문제

GitLab은 게스트 역할 권한을 가진 인증된 사용자가 UI 강제 역할 제한을 우회하는 조작된 API 요청을 보내 인시던트 작업 항목에 하위 항목을 추가할 수 있었던 문제를 해결했습니다.

영향 받는 버전: GitLab CE/EE: 17.2부터 17.11.5 이전, 18.0부터 18.0.3 이전, 18.1부터 18.1.1 이전의 모든 버전.

CVSS: 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N)

CVE-2025-2938 - GitLab CE/EE에 영향을 미치는 권한 상승

GitLab은 인증된 사용자가 승인 과정 중 역할 수정으로 인해 의도하지 않은 권한 부여가 발생한 프로젝트에 접근을 요청하여 프로젝트 권한을 상승시킬 수 있었던 문제를 해결했습니다.

영향 받는 버전: GitLab CE/EE: 17.3부터 17.11.5 이전, 18.0부터 18.0.3 이전, 18.1부터 18.1.1 이전의 모든 버전.

CVSS: 3.1 (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N)

CVE-2025-5846 - GitLab EE에 영향을 미치는 부적절한 접근 제어 문제

GitLab은 인증된 사용자가 프레임워크별 권한 검사를 우회하는 조작된 GraphQL 뮤테이션을 보내 관련 없는 컴플라이언스 프레임워크를 프로젝트에 할당할 수 있었던 문제를 해결했습니다.

영향 받는 버전: GitLab EE: 16.10부터 17.11.5 이전, 18.0부터 18.0.3 이전, 18.1부터 18.1.1 이전의 모든 버전

CVSS: 2.7 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N)

---

버그 수정

18.1.1

• (18.1로 백포트) 수정: gitlab-org/gitlab에서 전달한 IMAGE_TAG_EXT를 해제하지 않음
• 백포트: ubi-assets-release CI 작업 삭제
• [백포트] 18.1: 'dj-exclude-stable-branch-coverage' 브랜치를 'master'로 병합
• 수정: ssh를 통한 git 수정 백포트
• 프로젝트 수준에서 Amazon Q 활성화 여부 확인

18.0.3

• [백포트] zoekt 응답의 줄 번호 수정
• 프로젝트 바인딩 객체로 LFS 파일 다운로드 제한
• 백포트 "E2E 테스트: 코드 제안 테스트에서 Duo Core 동작 고려"
• 백포트 "E2E 테스트: elasticsearch omnibus 작업 비활성화"
• 백포트 "Self Hosted Duo Beta 기능 사용 불가 문제 수정" to 18.0
• 백포트 'CI에서 release-environments 단계 위로 이동' to 18-0-stable-ee
• Projects::TransferService를 더 안정적으로
• 브랜치 'jmc-549650'를 'master'로 병합
• 백포트 'tbulva-zoekt-flashing-no-results'를 18.0으로
• 브랜치 'tbulva-search-page-scope-fix'를 'master'로 병합
• attribute_methods.rb 백포트
• 백포트 "일부 위키 페이지 슬러그 변경 시 위키 댓글 손실 문제 수정"
• 18.0으로 백포트: 릴리스 QA 테스트를 위한 glab 버전 설정
• vulnerability_namespace_historical_statistic 수정을 18.0으로 백포트
• [백포트] 18.0: 브랜치 'dj-exclude-stable-branch-coverage'를 'master'로 병합
• 마크다운 앵커 및 여러 줄의 고정 링크 지원
• 수정: ssh를 통한 git 수정 백포트
• 불안정한 로거 테스트 수정 백포트
• 되돌리기 "브랜치 'backport-bugfix-restrict-LFS-download–18-0'를 '18-0-stable-ee'로 병합"
• 브랜치 'dattang/build-internal-release-qa-image'를 '18-0-stable-ee'로 병합

17.11.5

• 브랜치 '350883-update-to-use-live-trace-application-setting'을 '17-11-stable'로 병합
• 프로젝트 바인딩 객체로 LFS 파일 다운로드 제한
• 백포트 'CI에서 release-environments 단계 위로 이동'을 17-11-stable-ee로
• 브랜치 'jmc-549650'를 '17-11-stable-ee'로 병합
• 백포트 'Import::ValidateRemoteGitEndpoint 서비스 업데이트'
• 17.11로 백포트: 릴리스 QA 테스트를 위한 glab 버전 설정
• vulnerability_namespace_historical_statistic 수정을 17.11로 백포트
• [백포트] 17.11: 브랜치 'dj-exclude-stable-branch-coverage'를 'master'로 병합
• 수정: ssh를 통한 git 수정 백포트
• 되돌리기 "브랜치 'backport-bugfix-restrict-LFS-download–17-11'을 '17-11-stable-ee'로 병합"
• 브랜치 'dattang/build-internal-release-qa-image'를 'master'로 병합
• [백포트 - 17.11.x] omnibus에서 연기된 사용 중단 제거

업데이트

GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.

원문 바로가기

더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다. 지금 문의하기