오늘 GitLab Community Edition(CE)과 Enterprise Edition(EE)에 대해 18.3.1, 18.2.5, 18.1.5 버전이 출시되었습니다. 이 버전들은 중요한 버그 및 보안 수정 사항을 포함하고 있으므로, 모든 셀프 관리형 GitLab 인스턴스는 즉시 이 중 하나의 버전으로 업그레이드하시길 강력히 권장합니다. GitLab.com은 이미 보안 패치가 적용된 버전을 사용 중이며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다. GitLab은 패치 릴리즈를 통해 취약점에 대한 수정사항을 제공합니다. 패치 릴리즈는 정기 릴리즈와 심각도가 높은 취약점에 대한 긴급 릴리즈, 이렇게 두 가지 유형이 있습니다. 정기 릴리즈는 매월 둘째, 넷째 수요일에 배포됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ에서 확인하실 수 있습니다. 모든 GitLab 릴리즈 블로그 게시글은 여기에서 볼 수 있습니다.
보안 수정 사항의 경우, 각 취약점에 대한 상세 이슈는 패치가 적용된 릴리즈 이후 30일이 지나면 이슈 트래커를 통해 공개��됩니다. GitLab은 고객에게 노출되거나 고객 데이터를 저장하는 모든 측면이 최고 수준의 보안 기준을 충족하도록 최선을 다하고 있습니다. 보안 수준을 유지하기 위해, 모든 고객이 지원되는 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안 모범 사례에 대해서는 저희 블로그의 관련 게시글을 참고해 주세요.
권장 조치
아래에 설명된 이슈의 영향을 받는 버전을 사용 중인 모든 설치 환경은 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다. 제품의 배포 유형(omnibus, 소스 코드, 헬름 차트 등)이 명시되지 않은 경우, 모든 유형이 영향을 받음을 의미합니다.
| 제목 | 심각도 |
|---|---|
| GitLab CE/EE의 가져오기 기능에서 리소스 제한 없는 할당 취약점 | 중간 |
| GitLab CE/EE의 GraphQL 엔드포인트에서 인증 누락 취약점 | 중간 |
| GitLab CE/EE의 GraphQL에서 리소스 제한 없는 할당 취약점 | 중간 |
| GitLab CE/EE 저장소의 코드 삽입 취약점 | 중간 |
GitLab CE/EE의 가져오기 기능에서 리소스 제한 없는 할당 문제 발견
GitLab은 인증된 사용자가 과도하게 큰 응답을 생성하는 URL을 제출해 서비스 거부(DoS) 상태를 유발할 수 있었던 취약점을 수정했습니다.
영향 받는 버전: GitLab CE/EE: 8.15부터 18.1.5 이전, 18.2의 18.2.5 이전, 18.3의 18.3.1 이전 버전
CVSS: 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
GitLab CE/EE의 GraphQL 엔드포인트에서 인증 누락 문제 발견
GitLab은 인증되지 않은 사용자가 GraphQL API를 통해 민감한 수동 CI/CD 변수에 접근할 수 있었던 취약점을 수정했습니다.
영향 받는 버전: GitLab CE/EE: 18.1.5 이전 모든 버전, 18.2의 18.2.5 이전, 18.3의 18.3.1 이전 버전
CVSS: 5.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N)
GitLab CE/EE의 GraphQL에서 리소스 제한 없는 할당 문제 발견
GitLab은 특정 조건에서 인증되지 않은 공격자가 특별히 조작된 GraphQL 요청을 통해 모든 사용자에게 영향을 미치는 서비스 거부 상태를 유발할 수 있었던 취약점을 수정했습니다.
영향 받는 버전: GitLab CE/EE: 14.1부터 18.1.5 이전, 18.2의 18.2.5 이전, 18.3의 18.3.1 이전 버전
CVSS: 5.3 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
GitLab CE/EE 저장소에서 코드 삽입 취약점 발견
GitLab은 특정 조건에서 인증된 공격자가 저장소 가져오기 중 브랜치와 태그 간 모호성을 이용해 웹 인터페이스에서는 무해해 보이는 악성 코드를 배포할 수 있었던 취약점을 수정했습니다.
영향 받는 버전: GitLab CE/EE: 18.1.5 이전 모든 버전, 18.2의 18.2.5 이전, 18.3의 18.3.1 이전 버전
CVSS: 5.0 (CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:N/I:H/A:N)
버그 수정 및 개선사항
18.3.1
- [백포트 18.3] SBOM을 위한 컨테이너 스캐닝 변경사항
- 'gitlab 파일 로드 불가' 문제 수정 백포트
- 백포트: Ci::Build 필터링 최적화를 방해하는 네임스페이스 이슈 해결
- "경로 캐싱을 통한 종속성 경로 생성" 백포트
- 호스트명 지정 시 발생하는 신뢰할 수 있는 프록시 회귀 문제 수정
- E2E 테스트: 올바른 체크박스 메서드 사용 백포트
- Mattermost v10.10.2로 업데이트
18.2.5
- [백포트 18.2] SBOM용 컨테이너 스캐닝 변경사항 적용
- [18.2] 라벨 정렬 관련 불안정한 테스트 수정
- '설명이 부족한 백포트 MR에 대한 Danger 실패 조건 설정' 백포트
- 버그 백포트 - feature_setting.rb의 고정 객체 변이 문제 수정
- 에이전틱 채팅 단계 확인 추가
- 'active_add_on_purchase 확인에 셀프 매니지드 체크 추가' 백포트
- "test-on-omnibus 호환 noop 파이프라인 템플릿 생성" 백포트
- 'gitlab 파일 로드 오류 수정' 백포트
- E2E 테스트: 올바른 체크박스 메서드 사용 백포트
- 'clickhouse http 호출의 silent_mode 무시 처리' 백포트
18.1.5
- 18.1에 "QA 변경 사항만 있을 때 e2e:test-on-omnibus-ee 작업이 없어도 Danger가 오류를 발생시키지 않도록" 백포트
- GlobalAdvisoryScanWorker에 :throttled 긴급도 설정 백포트
- 배포 후 백포트 MR 라벨을 업데이트하는 작업 및 스크립트 추가 백포트
- gitlab-chart 다이제스트를 9d9e150으로 업데이트 백포트
- 누락된 ref 속성 수정 백포트
- [18.1] 라벨 정렬로 인한 불안정한 테스트 수정
- 설명이 없는 백포트 MR에 대해 Danger가 실패하도록 설정 백포트
- active_add_on_purchase 확인에 셀프 매니지드 체크 포함하도록 업데이트 백포트
- E2E 테스트: 올바른 체크박스 메서드 사용 백포트
- test-on-omnibus와 호환되는 noop 파이프라인 템플릿 생성 백포트
업그레이드에 관한 중요 참고사항
이 버전들은 새로운 마이그레이션을 포함하지 않으며, 다중 노드 배포의 경우 다운타임이 필요하지 않을 수 있습니다.
기본적으로 Omnibus 패키지는 업그레이드의 규모와 상관없이 중지, 마이그레이션 실행, 재시작 과정을 거친다는 점에 유의하세요. 이 동작은 /etc/gitlab/skip-auto-reconfigure 파일을 추가하여 변경할 수 있으며, 이는 업데이트에만 사용됩니다.
업데이트
GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.
더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다. 지금 문의하기