GitLab 보안 패치 릴리즈 18.5.1, 18.4.3, 18.3.5

Project Manager

2025년 10월 23일 · 약 11분

오늘 GitLab Community Edition(CE)과 Enterprise Edition(EE)에 대해 18.5.1, 18.4.3, 18.3.5버전이 출시되었습니다. 이 버전들은 중요한 버그 및 보안 수정 사항을 포함하고 있으므로, 모든 셀프 관리형 GitLab 인스턴스는 즉시 이 중 하나의 버전으로 업그레이드하시길 강력히 권장합니다. GitLab.com은 이미 보안 패치가 적용된 버전을 사용 중이며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다. GitLab은 패치 릴리즈를 통해 취약점에 대한 수정사항을 제공합니다. 패치 릴리즈는 정기 릴리즈와 심각도가 높은 취약점에 대한 긴급 릴리즈, 이렇게 두 가지 유형이 있습니다. 정기 릴리즈는 매월 둘째, 넷째 수요일에 배포됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ에서 확인하실 수 있습니다. 모든 GitLab 릴리즈 블로그 게시글은 여기에서 볼 수 있습니다.

보안 수정 사항의 경우, 각 취약점에 대한 상세 이슈는 패치가 적용된 릴리즈 이후 30일이 지나면 이슈 트래커를 통해 공개됩니다. GitLab은 고객에게 노출되거나 고객 데이터를 저장하는 모든 측면이 최고 수준의 보안 기준을 충족하도록 최선을 다하고 있습니다. 보안 수준을 유지하기 위해, 모든 고객이 지원되는 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안 모범 사례에 대해서는 저희 블로그의 관련 게시글을 참고해 주세요.

권장 조치

아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치를 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다.

제품의 특정 배포 유형(omnibus, 소스 코드, helm 차트 등)이 언급되지 않은 경우, 모든 유형이 영향을 받는다는 것을 의미합니다.

제목	심각도
러너 API의 부적절한 액세스 제어 문제가 GitLab EE에 영향을 미침	높음
이벤트 수집의 서비스 거부 문제가 GitLab CE/EE에 영향을 미침	높음
JSON 검증의 서비스 거부 문제가 GitLab CE/EE에 영향을 미침	높음
업로드의 서비스 거부 문제가 GitLab CE/EE에 영향을 미침	중간
파이프라인 빌드의 잘못된 권한 부여 문제가 GitLab CE에 영향을 미침	중간
그룹 멤버십의 비즈니스 로직 오류 문제가 GitLab EE에 영향을 미침	낮음
빠른 작업의 권한 부여 누락 문제가 GitLab EE에 영향을 미침	낮음

러너 API의 부적절한 액세스 제어 문제가 GitLab EE에 영향을 미침

GitLab은 특정 권한을 가진 인증된 사용자가 다른 프로젝트의 프로젝트 러너를 탈취할 수 있었던 문제를 수정했습니다.

영향을 받는 버전: GitLab EE: 17.1부터 18.3.5 이전 버전, 18.4부터 18.4.3 이전 버전, 18.5부터 18.5.1 이전 모든 버전

CVSS 8.5 (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H)

이벤트 수집의 서비스 거부 문제가 GitLab CE/EE에 영향을 미침

GitLab은 인증되지 않은 사용자가 특수하게 조작된 페이로드를 전송하여 서비스 거부 상태를 발생시킬 수 있었던 문제를 수정했습니다.

영향을 받는 버전: GitLab CE/EE: 17.10부터 18.3.5 이전 버전, 18.4부터 18.4.3 이전 버전, 18.5부터 18.5.1 이전 모든 버전

CVSS 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

JSON 검증의 서비스 거부 문제가 GitLab CE/EE에 영향을 미침

GitLab은 인증되지 않은 사용자가 조작된 JSON 페이로드가 포함된 GraphQL 요청을 전송하여 서비스 거부 상태를 발생시킬 수 있었던 문제를 수정했습니다.

영향을 받는 버전: GitLab CE/EE: 11.0부터 18.3.5 이전 버전, 18.4부터 18.4.3 이전 버전, 18.5부터 18.5.1 이전 모든 버전

CVSS 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

업로드의 서비스 거부 문제가 GitLab CE/EE에 영향을 미침

GitLab은 인증되지 않은 사용자가 특정 API 엔드포인트에 큰 파일을 업로드하여 서비스 거부 상태를 생성할 수 있었던 문제를 수정했습니다.

영향을 받는 버전: GitLab CE/EE: 11.7부터 18.3.5 이전 버전, 18.4부터 18.4.3 이전 버전, 18.5부터 18.5.1 이전 모든 버전

CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

파이프라인 빌드의 잘못된 권한 부여 문제가 GitLab CE에 영향을 미침

GitLab은 인증된 사용자가 커밋을 조작하여 승인되지 않은 파이프라인 실행을 트리거할 수 있었던 문제를 수정했습니다.

영향을 받는 버전: GitLab EE: 10.6부터 18.3.5 이전 버전, 18.4부터 18.4.3 이전 버전, 18.5부터 18.5.1 이전 모든 버전

CVSS 6.5 (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:L/A:N)

그룹 멤버십의 비즈니스 로직 오류 문제가 GitLab EE에 영향을 미침

GitLab은 특정 조건에서 인증된 사용자가 액세스 요청 승인 워크플로를 악용하여 승인되지 않은 프로젝트 액세스 권한을 얻을 수 있었던 문제를 수정했습니다.

영향을 받는 버전: GitLab EE: 18.4부터 18.3.5 이전 버전, 18.4부터 18.4.3 이전 버전, 18.5부터 18.5.1 이전 모든 버전

CVSS 3.8 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N)

빠른 작업의 권한 부여 누락 문제가 GitLab EE에 영향을 미침

GitLab은 인증된 사용자가 특정 설명에 악성 명령을 포함시켜 승인되지 않은 빠른 작업을 실행할 수 있었던 문제를 수정했습니다.

영향을 받는 버전: GitLab EE: 17.6부터 18.3.5 이전 버전, 18.4부터 18.4.3 이전 버전, 18.5부터 18.5.1 이전 모든 버전

CVSS 3.7 (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N)

버그 수정 및 개선사항

18.5.1

18.4.3

업그레이드 시 중요 참고사항

이 버전들은 새로운 마이그레이션을 포함하지 않으며, 멀티 노드 배포의 경우 다운타임이 필요하지 않습니다.

기본적으로 Omnibus 패키지는 업그레이드의 규모에 관계없이 중지, 마이그레이션 실행, 재시작을 수행한다는 점에 유의하시기 바랍니다. 이 동작은 업데이트에만 사용되는 /etc/gitlab/skip-auto-reconfigure 파일을 추가하여 변경할 수 있습니다.