오늘 GitLab Community Edition(CE)과 Enterprise Edition(EE)에 대해 18.2.1, 18.1.3, 18.0.5 버전이 출시되었습니다. 이 버전들은 중요한 버그 및 보안 수정 사항을 포함하고 있으므로, 모든 셀프 관리형 GitLab 인스턴스는 즉시 이 중 하나의 버전으로 업그레이드하시길 강력히 권장합니다. GitLab.com은 이미 보안 패치가 적용된 버전을 사용 중이며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다. GitLab은 패치 릴리즈를 통해 취약점에 대한 수정사항을 제공합니다. 패치 릴리즈는 정기 릴리즈와 심각도가 높은 취약점에 대한 긴급 릴리즈, 이렇게 두 가지 유형이 있습니다. 정기 릴리즈는 매월 둘째, 넷째 수요일에 배포됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ에서 확인하실 수 있습니다. 모든 GitLab 릴리즈 블로그 게시글은 여기에서 볼 수 있습니다.
보안 수정 사항의 경우, 각 취약점에 대한 상세 이슈는 패치가 적용된 릴리즈 이후 30일이 지나면 이슈 트래커를 통해 공개됩니다. GitLab은 고객에게 노출되 거나 고객 데이터를 저장하는 모든 측면이 최고 수준의 보안 기준을 충족하도록 최선을 다하고 있습니다. 보안 수준을 유지하기 위해, 모든 고객이 지원되는 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안 모범 사례에 대해서는 저희 블로그의 관련 게시글을 참고해 주세요.
권장 조치
아래에 설명된 이슈의 영향을 받는 버전을 사용 중인 모든 설치 환경은 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다. 제품의 배포 유형(omnibus, 소스 코드, 헬름 차트 등)이 명시되지 않은 경우, 모든 유형이 영향을 받음을 의미합니다.
보안 조치 사항
이번 패치 릴리즈에서의 주요 보안 조치 사항은 다음과 같습니다.
제목 | 심각도 |
---|---|
크로스사이트 스크립팅(XSS)이 GitLab CE/EE의 k8s 프록시에 미치는 영향 | 높음 |
CDN을 사용하는 GitLab CE/EE의 k8s 프록시에 크로스사이트 스크립팅(XSS) 영향 | 높음 |
권한 없는 주체에게 민감 정보 노출(GitLab CE/EE) | 중간 |
부적절한 접근 제어(GitLab EE) | 중간 |
권한 없는 주체에게 민감 정보 노출(GitLab CE/EE) | 중간 |
부적절한 접근 제어(GitLab CE/EE) | 중간 |
GitLab CE/EE의 Kubernetes 프록시에 영향을 미치는 크로스사이트 스크립팅(XSS) 문제
GitLab은 특정 상황에서 공격자가 의도하지 않은 콘텐츠 렌더링을 유발하여 XSS로 이어질 수 있었던 Kubernetes 프록시 기능의 문제를 수정했습니다.
영향 받는 버전: GitLab CE/EE: 15.10부터 18.0.5 미만, 18.1부터 18.1.3 미만, 18.2부터 18.2.1 미만의 모든 버전.
CVSS: 8.7 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
)
CDN을 사용하는 GitLab CE/EE의 Kubernetes 프록시에 영향을 미치는 크로스사이트 스크립팅(XSS) 문제
GitLab은 특정 콘텐츠 전송 네트워크를 통해 인스턴스가 제공될 때 인증된 사용자가 크로스사이트 스크립팅 공격을 수행할 수 있었던 문제를 수정했습니다.
영향 받는 버전: GitLab CE/EE: 15.10부터 18.0.5 미만, 18.1부터 18.1.3 미만, 18.2부터 18.2.1 미만의 모든 버전.
CVSS: 7.7 (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N
)
GitLab CE/EE에서 권한 없는 주체에게 민감 정보가 노출될 수 있는 문제
GitLab은 권한이 있는 사용자가 API를 통해 원래 접근 불가능해야 하는 특정 resource_group
정보를 조회할 수 있었던 문제를 수정했습니다.
영향 받는 버전: GitLab CE/EE: 15.0부터 18.0.5 미만, 18.1부터 18.1.3 미만, 18.2부터 18.2.1 미만의 모든 버전.
CVSS: 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
)
GitLab EE에 영향을 미치는 부적절한 접근 제어 문제
GitLab은 특정 상황에서 공격자가 GitLab Duo 응답 내 내부 노트에 접근할 수 있었던 문제를 수정했습니다.
영향 받는 버전: GitLab EE: 17.0부터 18.0.5 미만, 18.1부터 18.1.3 미만, 18.2부터 18.2.1 미만의 모든 버전.
CVSS: 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
)
GitLab CE/EE에서 권한 없는 주체에게 민감 정보가 노출될 수 있는 문제
GitLab은 권한 없는 사용자가 커스텀 서비스 데스크 이메일 주소에 접근할 수 있었던 문제를 수정했습니다.
영향 받는 버전: GitLab CE/EE: 17.9부터 18.0.5 미만, 18.1부터 18.1.3 미만, 18.2부터 18.2.1 미만의 모든 버전.
CVSS: 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
)
GitLab CE/EE에 영향을 미치는 부적절한 접근 제어 문제
GitLab은 특정 상황에서 권한 없는 사용자가 조작된 요청을 통해 배포 작업 로그를 열람할 수 있었던 문제를 수정했습니다.
영향 받는 버전: GitLab CE/EE: 15.4부터 18.0.5 미만, 18.1부터 18.1.3 미만, 18.2부터 18.2.1 미만의 모든 버전에 영향이 있습니다.
CVSS: 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
)
버그수정 및 개선 사항
18.2.1
- COM_REGISTRY의 이중 경로 문제 수정
- VERSION 파일 업데이트
- [Agentic Chat] NewCheckpoint 메시지에 응답하지 않도록 백포트
- search_refactor_membership_filter 기능 플래그 삭제 백포트
- Workhorse 업로드에서 비-AWS S3 제공자용 S3 호환성 수정 백포트
- [백포트] Agentic Chat에서 신규 채팅 생성 강제 대신 이전 채팅 세션을 이어서 계속할 수 있도록 허용
- Agentic Chat을 위한 워크플로우 메타데이터 전송
- Github Import E2E 수정 백포트
- Workhorse 레이스 테스트 수정 백포트: Duo Workflow 전송 스트림의 EOF 오류 무시
18.1.3
- 'jk/cache-assets-security-mirror' 브랜치를 'master'에 병합
- [백포트] 'tbulva-zoekt-url-reset'을 '18.1'에 적용
- "cherry-pick-54ec1758" 브랜치를 '18-1-stable-ee'에서 리버트
- 'dattang/pass-omnibus-package-to-release-environment-pipeline' 브랜치를 'master'에 병합
- 'dattang/run-qa-on-get-release-environment' 브랜치를 '18-1-stable-ee'에 병합
- [백포트] Elasticsearch URL 구성 시 허용 목록 체크 추가
- "directory_code_dropdown_updates 플래그 비활성화" 백포트의 백포트
- 보안 스테이블 브랜치에서 에셋 캐싱 활성화 리버트
- 그룹 머지 요청 목록에서 브랜치 로딩 문제 수정 백포트
- 백포트
취약점 해제 시 웹훅 이벤트 트리거
- GitLab Exporter 15.6.0을 18.1.x로 백포트
- container-registry 의존성 v4.23.2-gitlab로 업데이트
18.0.5
- [18.0 백포트] Zoekt: 노드가 온라인일 때만 글로벌 검색 활성화
- 18-0-stable-ee에서 GET Release Environments 실행
- 그룹 머지 요청 목록에서 브랜치 로딩 문제 수정 백포트
- 'dattang/fix-syntax-release-env-pipeline'을 '18-0-stable-ee'에 백포트
- [18.0 백포트] Elasticsearch URL 구성 시 허용 목록 체크 추가
- 백포트
취약점 해제 시 웹훅 이벤트 트리거
- container-registry 의존성 v4.21.4-gitlab로 업데이트
- GET Release Environments - 18.0용 Omnibus 패키지 빌드
- 'cb-fix-prein-version-parse' 브랜치를 '18-0-stable'에 병합
업데이트
GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.
더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다. 지금 문의하기