오늘 GitLab Community Edition(CE)과 Enterprise Edition(EE)에 대해 18.4.2, 18.3.4, 18.2.8버전이 출시되었습니다. 이 버전들은 중요한 버그 및 보안 수정 사항을 포함하고 있으므로, 모든 셀프 관리형 GitLab 인스턴스는 즉시 이 중 하나의 버전으로 업그레이드하시길 강력히 권장합니다. GitLab.com은 이미 보안 패치가 적용된 버전을 사용 중이며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다. GitLab은 패치 릴리즈를 통해 취약점에 대한 수정사항을 제공합니다. 패치 릴리즈는 정기 릴리즈와 심각도가 높은 취약점에 대한 긴급 릴리즈, 이렇게 두 가지 유형이 있습니다. 정기 릴리즈는 매월 둘째, 넷째 수요일에 배포됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ에서 확인하실 수 있습니다. 모든 GitLab 릴리즈 블로그 게시글은 여기에서 볼 수 있습니다.
보안 수정 사항의 경우, 각 취약점에 대한 상세 이슈는 패치가 적용된 릴리즈 이후 30일이 지나면 이슈 트래커를 통해 공개됩니다. GitLab은 고객에게 노출되거나 고객 데이터를 저장하는 모든 측면이 최고 수준의 보안 기준을 충족하도록 최선을 다하고 있습니다. 보안 수준을 유지하기 위해, 모든 고객이 지원되는 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안 모범 사례에 대해서는 저희 블로그의 관련 게시글을 참고해 주세요.
권장 조치
아래에 설명된 이슈의 영향을 받는 버전을 사용 중인 모든 설치 환경은 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다. 제품의 배포 유형(omnibus, 소스 코드, 헬름 차트 등)이 명시되지 않은 경우, 모든 유형이 영향을 받음을 의미합니다.
제목 | 심각도 |
---|---|
GraphQL 변형의 잘못된 권한 부여 문제가 GitLab EE에 영향 | 높음 |
GraphQL blob 타입의 서비스 거부 문제가 GitLab CE/EE에 영향 | 높음 |
수동 작업의 권한 부여 누락 문제가 GitLab CE/EE에 영향 | 중간 |
웹훅 엔드포인트의 서비스 거부 문제가 GitLab CE/EE에 영향 | 중간 |
GraphQL 변형의 잘못된 권한 부여 문제가 GitLab EE에 영향
GitLab은 특정 조건에서 읽기 전용 API 토큰을 가진 인증된 사용자가 잘못된 범위의 GraphQL 변형을 악용하여 취약점 레코드에 대해 무단 쓰기 작업을 수행할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab EE: 18.3부터 18.3.4까지, 18.4부터 18.4.2까지의 모든 버전
CVSS: 7.7 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N
)
GraphQL blob 타입의 서비스 거부 문제가 GitLab CE/EE에 영향
GitLab은 대용량 저장소 blob을 요청하는 조작된 GraphQL 쿼리를 전송하여 GitLab 인스턴스가 응답하지 않거나 성능 저하를 일으킬 수 있는 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 13.12부터 18.2.8까지, 18.3부터 18.3.4까지, 18.4부터 18.4.2까지의 모든 버전
CVSS: 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
)
수동 작업의 권한 부여 누락 문제가 GitLab CE/EE에 영향
GitLab은 프로젝트 멤버십이 없는 인증된 사용자가 GraphQL API를 쿼리하여 민감한 수동 CI/CD 변수를 조회할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 13.7부터 18.2.8까지, 18.3.4 이전의 18.3, 18.4.2 이전의 18.4의 모든 버전
CVSS: 5.0 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N
)
웹훅 엔드포인트의 서비스 거부 문제가 GitLab CE/EE에 영향
GitLab은 조작된 HTTP 응답을 전송하는 악의적인 웹훅 엔드포인트를 구성하여 인증된 사용자가 서비스 거부 상태를 만들 수 있었던 업스트림 Ruby Core 라이브러리에 영향을 미치는 문제를 해결했습니다. 이 문제는 2025년 7월 17일에 Ruby Core 유지관리자에게 보고되었습니다.
영향받는 버전: GitLab CE/EE: 18.2.8 이전의 5.2부터의 모든 버전, 18.3.4 이전의 18.3, 18.4.2 이전의 18.4
CVSS: 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
)
버그 수정 및 개선사항
18.4.2
- '파이프라인 헬퍼에 안전 체이닝 추가' 백포트
- Workhorse: DWS 프록시의 대용량 HTTP 처리 개선
- Geo::Event 워커의 '수정: 문자열을 배열로 암묵적 변환 불가' 백포트
- 백포트: 에이전틱 채팅 수정
- [18.4] 테스트 실행 전 분리된 파티션 지우기
- '비교 리비전 뷰에서 대상 프로젝트 엔드포인트 404 수정' 백포트
- 작업 항목 이동 또는 복제 시 시작 및 마감 날짜 데이터 전송
- 'CE에서 재할당 드롭다운 수정' 백포트
- 작업 항목 이동 또는 복제 시 상태 데이터 전송
- Revert "Merge branch 'ai-catalog-item-consumers-graphql' into 'master'" 백포트
- 브랜치 변경 시 CI_MERGE_REQUEST_DIFF_BASE_SHA가 업데이트되지 않는 문제 백포트
- "Release Environment MR 레이블 스크립트에 키-값 구조 사용" 백포트
- '자체 관리 인스턴스의 무료 평가판 시작 링크 수정' 백포트
- 의존성 gitlab-fog-azure-rm을 '~> 2.4.0'으로 업데이트
- '평가판 기간 CDOT 호출에서 비 Saas 인스턴스 제거' 백포트
- 'check_f02a3f53bf not null 제약 조건 제거' 백포트
- 'sbom 종속성 목록 내보내기에서 알 수 없는 라이선스 제거'의 18.4 백포트
- [18.4] elasticsearch_aws_role_arn의 json 유효성 검사 수정
- 백포트: 자체 관리에 사용되는 모델 선택 FF 변경
- [18.4] 세션이 없는 사용자의 세션 생성 방지
- package::config 레시피에 gitlab::config 별칭 추가
18.3.4
- Workhorse: DWS 프록시의 대용량 HTTP 처리 개선
- [18.3] 테스트 실행 전 분리된 파티션 지우기
- '비교 리비전 뷰에서 대상 프로젝트 엔드포인트 404 수정' 백포트
- 작업 항목 이동 또는 복제 시 시작 및 마감 날짜 데이터 전송
- 'CE에서 재할당 드롭다운 수정' 백포트
- 작업 항목 이동 또는 복제 시 상태 데이터 전송
- "Release Environment MR 레이블 스크립트에 키-값 구조 사용" 백포트
- 의존성 gitlab-fog-azure-rm을 '~> 2.4.0'으로 업데이트
- '평가판 기간 CDOT 호출에서 비 Saas 인스턴스 제거' 백포트
- 'sbom 종속성 목록 내보내기에서 알 수 없는 라이선스 제거'의 18.3 백포트
- docs hugo 작업의 이미지를 최신 이미지로 사용하도록 업데이트
18.2.8
- [18.2] 탄력적 클라이언트 어댑터 설정 허용
- [18.2] 테스트 실행 전 분리된 파티션 지우기
- 작업 항목 이동 또는 복제 시 시작 및 마감 날짜 데이터 전송
- 'CE에서 재할당 드롭다운 수정' 백포트
- 작업 항목 이동 또는 복제 시 상태 데이터 전송
- "Release Environment MR 레이블 스크립트에 키-값 구조 사용" 백포트
- 의존성 gitlab-fog-azure-rm을 '~> 2.4.0'으로 업데이트
- [18.2] elasticsearch_aws_role_arn의 json 유효성 검사 수정
- 'sbom 종속성 목록 내보내기에서 알 수 없는 라이선스 제거'의 18.2 백포트
- '자체 관리 인스턴스의 무료 평가판 시작 링크 수정' 백포트
- docs hugo 작업의 이미지를 최신 이미지로 사용하도록 업데이트
업그레이드에 관한 중요 사항
이 패치에는 업그레이드 프로세스에 영향을 줄 수 있는 데이터베이스 마이그레이션이 포함되어 있습니다.
설치 환경에 미치는 영향:
- 단일 노드 인스턴스: 이 패치는 업그레이드 중 다운타임을 발생시킵니다. GitLab이 시작되기 전에 마이그레이션이 완료되어야 하기 때문입니다.
- 다중 노드 인스턴스: 적절한 무중단 업그레이드 절차를 사용하면 이 패치를 다운타임 없이 적용할 수 있습니다.
배포 후 마이그레이션
다음 버전은 업그레이드 후에 실행할 수 있는 배포 후 마이그레이션을 포함합니다:
- 18.4.2
업그레이드가 설치 환경에 미치는 영향에 대해 자세히 알아보려면 다음을 참조하세요:
업데이트
GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.
더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다. 지금 문의하기