GitLab 보안 패치 릴리즈 18.4.1, 18.3.3, 18.2.7

오늘 GitLab Community Edition(CE)과 Enterprise Edition(EE)에 대해 18.4.1, 18.3.3, 18.2.7버전이 출시되었습니다. 이 버전들은 중요한 버그 및 보안 수정 사항을 포함하고 있으므로, 모든 셀프 관리형 GitLab 인스턴스는 즉시 이 중 하나의 버전으로 업그레이드하시길 강력히 권장합니다. GitLab.com은 이미 보안 패치가 적용된 버전을 사용 중이며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다. GitLab은 패치 릴리즈를 통해 취약점에 대한 수정사항을 제공합니다. 패치 릴리즈는 정기 릴리즈와 심각도가 높은 취약점에 대한 긴급 릴리즈, 이렇게 두 가지 유형이 있습니다. 정기 릴리즈는 매월 둘째, 넷째 수요일에 배포됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ에서 확인하실 수 있습니다. 모든 GitLab 릴리즈 블로그 게시글은 여기에서 볼 수 있습니다.

보안 수정 사항의 경우, 각 취약점에 대한 상세 이슈는 패치가 적용된 릴리즈 이후 30일이 지나면 이슈 트래커를 통해 공개됩니다. GitLab은 고객에게 노출되거나 고객 데이터를 저장하는 모든 측면이 최고 수준의 보안 기준을 충족하도록 최선을 다하고 있습니다. 보안 수준을 유지하기 위해, 모든 고객이 지원되는 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안 모범 사례에 대해서는 저희 블로그의 관련 게시글을 참고해 주세요.

권장 조치

아래에 설명된 이슈의 영향을 받는 버전을 사용 중인 모든 설치 환경은 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다. 제품의 배포 유형(omnibus, 소스 코드, 헬름 차트 등)이 명시되지 않은 경우, 모든 유형이 영향을 받음을 의미합니다.

제목	심각도
특별히 조작된 JSON 파일을 업로드할 때 서비스 거부 문제가 GitLab CE/EE에 영향을 미침	높음
쿼리 복잡성 제한을 우회하는 서비스 거부 문제가 GitLab CE/EE에 영향을 미침	높음
낮은 권한을 가진 사용자를 위한 가상 레지스트리 구성에서 정보 노출 문제가 GitLab CE/EE에 영향을 미침	중간
개발자 역할 내에서의 권한 상승 문제가 GitLab EE에 영향을 미침	중간
제한되지 않은 배열 매개변수를 통한 GraphQL API의 서비스 거부 문제가 GitLab CE/EE에 영향을 미침	중간
역할을 할당할 때 프로젝트 관리자에 대한 부적절한 권한 부여 문제가 GitLab EE에 영향을 미침	낮음
GraphQL API blobSearch의 서비스 거부 문제가 GitLab CE/EE에 영향을 미침	낮음
이슈 이동 드롭다운을 통한 잘못된 소유권 할당이 GitLab CE/EE에 영향을 미침	낮음
문자열 변환 메서드를 통한 서비스 거부 문제가 GitLab CE/EE에 영향을 미침	낮음

특별히 조작된 JSON 파일을 업로드할 때 서비스 거부 문제가 GitLab CE/EE에 영향을 미침

GitLab은 인증되지 않은 사용자가 특별히 조작된 JSON 파일을 전송하여 GitLab 인스턴스를 정상적인 사용자에게 응답하지 않게 만들 수 있는 문제를 해결했습니다.

영향을 받는 버전: GitLab CE/EE: 18.2.7 이전의 모든 버전, 18.3.1 이전의 18.3, 18.4.1 이전의 18.4

CVSS: 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

쿼리 복잡성 제한을 우회하는 서비스 거부 문제가 GitLab CE/EE에 영향을 미침

GitLab은 인증되지 않은 사용자가 쿼리 복잡성 제한을 우회하여 서비스 거부 상태를 초래할 수 있는 문제를 해결했습니다.

영향을 받는 버전: Gitlab EE/CE 11.10부터 18.2.7 이전, 18.3.3 이전의 18.3, 18.4.1 이전의 18.4까지의 모든 버전

CVSS: 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

낮은 권한을 가진 사용자를 위한 가상 레지스트리 구성에서 정보 노출 문제가 GitLab CE/EE에 영향을 미침

GitLab은 낮은 권한을 가진 사용자가 가상 레지스트리 구성에 저장된 민감한 정보에 접근할 수 있는 문제를 해결했습니다.

영향을 받는 버전: GitLab CE/EE 14.10부터 18.2.7 이전, 18.3.3 이전의 18.3, 18.4.1 이전의 18.4까지의 모든 버전

CVSS: 6.8 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:N/A:N)

개발자 역할 내에서의 권한 상승 문제가 GitLab EE에 영향을 미침

GitLab은 특정 그룹 관리 권한을 가진 개발자가 권한을 상승시켜 추가 시스템 기능에 대한 무단 접근을 얻을 수 있는 문제를 해결했습니다.

영향을 받는 버전: GitLab EE 16.6부터 18.2.7 이전, 18.3.3 이전의 18.3, 18.4.1 이전의 18.4까지의 모든 버전

CVSS: 6.5 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N)

제한되지 않은 배열 매개변수를 통한 GraphQL API의 서비스 거부 문제가 GitLab CE/EE에 영향을 미침

GitLab은 인증된 사용자가 특정 GraphQL 쿼리를 사용하는 동안 제어되지 않는 CPU 소비를 유발하여 서비스 거부 상태로 이어질 수 있는 문제를 해결했습니다.

영향을 받는 버전: GitLab CE/EE 17.2부터 18.2.7 이전, 18.3.1 이전의 18.3, 18.4.1 이전의 18.4까지의 모든 버전

CVSS: 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L)

CVE ID를 요청했으며 할당되면 이 블로그 게시물을 업데이트할 예정입니다.

역할을 할당할 때 프로젝트 관리자에 대한 부적절한 권한 부여 문제가 GitLab EE에 영향을 미침

GitLab은 프로젝트 관리자가 프로젝트 관리자의 보안 경계를 초과하고 권한을 상승시키는 사용자에게 사용자 정의 역할을 할당할 수 있는 부적절한 권한을 허용하는 문제를 해결했습니다.

영향을 받는 버전: GitLab EE 16.6부터 18.2.7 이전, 18.3.3 이전의 18.3, 18.4.1 이전의 18.4까지의 모든 버전

CVSS: 3.8 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:L)

GraphQL API blobSearch의 서비스 거부 문제가 GitLab CE/EE에 영향을 미침

GitLab은 인증된 사용자가 반복적인 요청을 통해 보호되지 않은 GraphQL API를 악용하여 서비스 거부 상태를 만들 수 있는 문제를 해결했습니다.

영향을 받는 버전: GitLab CE/EE 18.1부터 18.2.7 이전, 18.3.3 이전의 18.3, 18.4.1 이전의 18.4까지의 모든 버전

CVSS: 3.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:L)

이슈 이동 드롭다운을 통한 잘못된 소유권 할당이 GitLab CE/EE에 영향을 미침

GitLab은 인증된 사용자가 동일한 이름의 프로젝트를 생성하여 기밀 이슈에 무단 접근할 수 있는 문제를 해결했습니다. 이로 인해 사용자가 민감한 정보를 잘못된 프로젝트로 전송할 가능성이 있었습니다.

영향을 받는 버전: GitLab CE/EE 17.10부터 18.2.7 이전, 18.3.3 이전의 18.3, 18.4.1 이전의 18.4까지의 모든 버전

CVSS: 3.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N)

문자열 변환 메서드를 통한 서비스 거부 문제가 GitLab CE/EE에 영향을 미침

GitLab은 인증된 사용자가 특정 문자열 변환 메서드를 사용하여 성능 저하를 일으키고, 잠재적으로 서비스 거부 상태로 이어질 수 있었던 문제를 해결했습니다.

영향을 받는 버전: GitLab CE/EE 17.4부터 18.2.7 이전 버전, 18.3부터 18.3.3 이전 버전, 18.4부터 18.4.1 이전 버전

CVSS: 3.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:L)

postgreSQL 보안 업데이트

postgreSQL이 CVE-2025-8713, CVE-2025-8714, CVE-2025-8715를 포함한 보안 취약점 수정사항이 포함된 버전 16.10으로 업데이트되었습니다

버그 수정 및 개선사항

18.4.1

• 관리자 사용자 업데이트 백포트 - GET Release Environment QA 테스트용
• [18.4] lock_duo_features_enabled가 true일 때 프로젝트 포크/생성 불가 문제 해결 백포트
• MR 작성자를 리뷰어 및 병합자에게 안내하는 Danger 메시지 추가 백포트 (18.4)
• 상위 항목이 서비스 수준에서 삭제 표시된 경우 그룹/프로젝트 삭제 방지 백포트
• 18.4: 스캐너 제안 적용 시 오류 수정 백포트
• API/V4/MCP의 적절한 OAuth Discovery URL 보장 백포트
• 스펙 간 데이터베이스 상태 누수 수정
• HandleMalformedStrings 미들웨어의 CPU 및 메모리 사용 최적화
• 보호된 브랜치 드롭다운 텍스트 수정 백포트 (18.4)
• [18.4] 불안정한 병렬 디자인 관리 업로드 스펙 수정
• FetchModelDefinitionsService 수정 백포트 (!205687)
• DAP 설치 시 DUO_WORKFLOW_SELF_SIGNED_JWT__SIGNING_KEY 추가 방법 문서화 백포트
• Geo: 재검증 카운트 쿼리 시 ActiveRecord::StatementInvalid: PG::UndefinedColumn 오류 수정 백포트
• 상태 업데이트 대상이 이미 일치할 때 성공 반환 백포트
• [18.4] 탄력적 클라이언트 어댑터 설정 허용
• xcode 프로토콜에 isUnsafeLink 기능 사용 백포트
• cached-assets-hash.txt 파일이 비어 있을 때 자산 재컴파일 보장
• 18.4: API를 통한 종속성 목록 내보내기의 라이센스 검증 무시 문제 해결 백포트
• CI: Ubuntu 22.04 FIPS 검사를 EE 전용으로 변경 (백포트)

18.3.3

• 기본 Ruby 버전을 3.2.9로 업그레이드 백포트
• 정식 버전 대신 릴리스 환경 프로젝트 ID 사용 백포트
• 유지 관리되는 안정 브랜치에서 Danger 경고 방지 백포트 (18.3)
• duo 워크플로우 클라이언트 프로토콜 버전 업그레이드 백포트
• 변수 옵션 드롭다운에서 중복 값 필터링 백포트
• 18.3: SBOM 존재 시 보안 위젯 무한 폴링 문제 수정 백포트
• [18.3] structure.sql에서 CVE-2025-8714 명령 제거 백포트
• 18.3: Geo 세컨더리에서 배포 파일 이름 자르지 않도록 수정 백포트
• [백포트-18.3] 일부 위키 콘텐츠 검색 시 500 오류 발생 문제 수정
• [18.3] ES 서버가 접근 금지 응답 시 검색 관리 페이지 오류 수정
• 시크릿 관리자 설정을 라이센스뿐 아니라 기능 플래그 뒤에도 숨기기 백포트 (18.3)
• GET Release Environment QA 테스트용 관리자 사용자 업데이트 백포트
• [18.3] lock_duo_features_enabled가 true일 때 프로젝트 포크/생성 불가 문제 해결 백포트
• MR 작성자를 리뷰어 및 병합자에게 안내하는 Danger 메시지 추가 백포트 (18.3)
• [백포트 18-3] as-if-foss 파이프라인의 시크릿 푸시 보호 기능 우회 허용
• 18.3: 스캐너 제안 적용 시 오류 수정 백포트
• API/V4/MCP의 적절한 OAuth Discovery URL 보장 백포트
• HandleMalformedStrings 미들웨어의 CPU 및 메모리 사용 최적화
• CI ID 토큰에 작업 프로젝트 클레임 추가 백포트 (18.3)
• 상태 업데이트 대상이 이미 일치할 때 성공 반환 백포트
• [18.3] 불안정한 병렬 디자인 관리 업로드 스펙 수정
• 병합 요청 목록 앱의 브랜치 자동 완성 경로 수정 백포트 (18.3)
• 연결된 파일이 목록 상단에 표시되지 않는 문제 수정 백포트 (18.3)
• [18.3] 탄력적 클라이언트 어댑터 설정 허용
• xcode 프로토콜에 isUnsafeLink 기능 사용 백포트
• 18.3: API를 통한 종속성 목록 내보내기의 라이센스 검증 무시 문제 해결 백포트
• 레지스트리 메타데이터 데이터베이스 비밀번호 생성 오류 수정 백포트
• 여러 TLS 인증서 존재 시 c_rehash 사용으로 폴백

18.2.7

• diff 댓글 제안 라인 범위 오류 수정 백포트
• [18.2] ES 서버가 접근 금지 응답 시 검색 관리 페이지 오류 수정
• [백포트 18.2] 특정 위키 콘텐츠 검색 시 500 오류 발생 문제 수정
• 유지 관리되는 안정 브랜치에서 Danger 경고 방지 백포트 (18.2)
• 18.2: Geo 세컨더리에서 배포 파일 이름 자르지 않도록 수정 백포트
• 정식 버전 대신 릴리스 환경 프로젝트 ID 사용 백포트
• 18.2: SBOM 존재 시 보안 위젯 무한 폴링 문제 수정 백포트
• GET Release Environment QA 테스트용 관리자 사용자 업데이트 백포트
• [백포트 18-2] as-if-foss 파이프라인의 시크릿 푸시 보호 기능 우회 허용
• MR 작성자를 리뷰어 및 병합자에게 안내하는 Danger 메시지 추가 백포트 (18.2)
• 18.2: 스캐너 제안 적용 시 오류 수정 백포트
• HandleMalformedStrings 미들웨어의 CPU 및 메모리 사용 최적화
• CI ID 토큰에 작업 프로젝트 클레임 추가 백포트 (18.2)
• [18.2] lock_duo_features_enabled가 true일 때 프로젝트 포크/생성 불가 문제 해결 백포트
• [18.2] 불안정한 병렬 디자인 관리 업로드 스펙 수정
• 여러 TLS 인증서 존재 시 c_rehash 사용으로 폴백

업그레이드에 관한 중요 사항

이 버전들은 새로운 마이그레이션을 포함하지 않으며, 다중 노드 배포의 경우 다운타임이 필요하지 않을 것입니다.

기본적으로 Omnibus 패키지는 업그레이드의 규모와 상관없이 중지, 마이그레이션 실행, 재시작을 수행한다는 점을 유의하시기 바랍니다. 이 동작은 /etc/gitlab/skip-auto-reconfigure 파일을 추가하여 변경할 수 있으며, 이는 업데이트에만 사용됩니다.

업데이트

GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.

원문 바로가기

더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다. 지금 문의하기