GitLab 보안 패치 릴리즈 18.6.1, 18.5.3, 18.4.5

오늘 GitLab Community Edition(CE)과 Enterprise Edition(EE)에 대해 18.6.1, 18.5.3, 18.4.5버전이 출시되었습니다. 이 버전들은 중요한 버그 및 보안 수정 사항을 포함하고 있으므로, 모든 셀프 관리형 GitLab 인스턴스는 즉시 이 중 하나의 버전으로 업그레이드하시길 강력히 권장합니다. GitLab.com은 이미 보안 패치가 적용된 버전을 사용 중이며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다. GitLab은 패치 릴리즈를 통해 취약점에 대한 수정사항을 제공합니다. 패치 릴리즈는 정기 릴리즈와 심각도가 높은 취약점에 대한 긴급 릴리즈, 이렇게 두 가지 유형이 있습니다. 정기 릴리즈는 매월 둘째, 넷째 수요일에 배포됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ에서 확인하실 수 있습니다. 모든 GitLab 릴리즈 블로그 게시글은 여기에서 볼 수 있습니다.

보안 수정 사항의 경우, 각 취약점에 대한 상세 이슈는 패치가 적용된 릴리즈 이후 30일이 지나면 이슈 트래커를 통해 공개됩니다. GitLab은 고객에게 노출되거나 고객 데이터를 저장하는 모든 측면이 최고 수준의 보안 기준을 충족하도록 최선을 다하고 있습니다. 보안 수준을 유지하기 위해, 모든 고객이 지원되는 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안 모범 사례에 대해서는 저희 블로그의 관련 게시글을 참고해 주세요.

권장 조치

---

아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치를 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다.

제품의 특정 배포 유형(omnibus, 소스 코드, helm 차트 등)이 언급되지 않은 경우, 모든 유형이 영향을 받는다는 것을 의미합니다.

CI/CD 캐시의 경쟁 조건 문제가 GitLab CE/EE에 영향

GitLab은 특정 조건에서 인증된 사용자가 더 높은 권한을 가진 사용자의 자격 증명을 획득하고 해당 사용자의 컨텍스트에서 작업을 수행할 수 있었던 문제를 수정했습니다.

영향받는 버전: GitLab CE/EE: 18.4에서 18.4.5 이전, 18.5에서 18.5.3 이전, 18.6에서 18.6.1 이전의 모든 버전

CVSS 7.7 (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N)

JSON 입력 유효성 검사 미들웨어의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 인증되지 않은 사용자가 악의적인 JSON 페이로드를 포함하는 특별히 조작된 요청을 전송하여 서비스 거부 상태를 유발할 수 있었던 문제를 수정했습니다.

영향받는 버전: GitLab CE/EE: 17.10에서 18.4.5 이전, 18.5에서 18.5.3 이전, 18.6에서 18.6.1 이전의 모든 버전

CVSS 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

계정 등록의 인증 우회 문제가 GitLab CE/EE에 영향

GitLab은 특정 조건에서 인증되지 않은 사용자가 일부 요청의 헤더를 변경하여 임의의 조직에 가입할 수 있었던 문제를 수정했습니다.

영향받는 버전: GitLab CE/EE: 18.3에서 18.4.5 이전, 18.5에서 18.5.3 이전, 18.6에서 18.6.1 이전의 모든 버전

CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N)

HTTP 응답 처리의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 특정 권한을 가진 인증된 사용자가 HTTP 응답 처리를 통해 서비스 거부 상태를 유발할 수 있었던 문제를 수정했습니다.

영향받는 버전: GitLab CE/EE: 8.3에서 18.4.5 이전, 18.5에서 18.5.3 이전, 18.6에서 18.6.1 이전의 모든 버전

CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

마크다운 렌더링의 부적절한 권한 부여 문제가 GitLab EE에 영향

GitLab은 특정 구성 조건에서 인증된 사용자가 보안 보고서의 정보를 볼 수 있었던 문제를 수정했습니다.

영향받는 버전: GitLab EE: 13.7에서 18.4.5 이전, 18.5에서 18.5.3 이전, 18.6에서 18.6.1 이전의 모든 버전

CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)

테라폼 레지스트리의 정보 노출 문제가 GitLab CE/EE에 영향

GitLab은 특정 조건에서 특정 로그에 액세스할 수 있는 인증된 사용자가 민감한 토큰을 획득할 수 있었던 문제를 수정했습니다.

영향받는 버전: GitLab CE/EE: 13.12에서 18.4.5 이전, 18.5에서 18.5.3 이전, 18.6에서 18.6.1 이전의 모든 버전

CVSS 2.4 (CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:N/A:N)

버그 수정 및 개선사항

---

18.6.1

• 18-6 stable Container Registry를 v4.31.1-gitlab로 업데이트
• '상속된 사용자에 대한 사용자 정의 역할 승인자 조회 수정' 백포트
• [18.6] Cloud Native GitLab에서 /admin/sidekiq CSS 자산이 로드되지 않는 문제 수정
• 'search_glql_use_routing 플래그 롤아웃' 백포트
• 'BackfillTimelogsNamespace 완료 순서 수정' 백포트
• 'OAuth 스위트를 test-on-cng로 이동' 백포트
• 'commitsCount 변수 이름 수정' 백포트
• 18-6 E2E 테스트 백포트: 장기간 격리된 e2e 테스트 격리
• Security Analyst 기능에 대한 구독 계층 업데이트, 잘못되었음
• '병합 요청 위젯 폴링 경쟁 조건 수정' 백포트
• Sidekiq 역할: 기본적으로 rails recipies 활성화 [18.6 백포트]
• [18.6] nginx['default_server_enabled'] 구성 매개변수 추가
• 백포트: EL10에는 SELinux 및 perl 패키지가 필요함

18.5.3

• 단일 zoekt 노드를 사용할 수 있는 경우 Zoekt 롤아웃이 제대로 작동하지 않는 문제 백포트
• '라이선스 이름 지원을 EE로 이동' 백포트
• BranchPushService에서 누락된 gitaly_context 전달 수정
• '새로운 워커로 새로 고침 워커 분할' 백포트
• 작업을 적극적으로 재개하는 FF 추가 백포트
• '가져온 상속 프로젝트 멤버십에서 프로젝트 권한이 업데이트되도록 보장' 백포트
• E2E 테스트: 장기간 격리된 스펙 격리 18-5
• 백포트: 검색을 사용한 태그 API 첫 페이지 페이지네이션 수정
• [백포트] 데이터 제한을 위해 blob 복잡성 완화
• '수정: 디렉토리 다운로드 URL에서 중복 '?' 방지(추가 매개변수에는 '&' 사용)' 백포트
• 'duo workflow service gem을 0.5로 업데이트' 백포트
• '상속된 사용자에 대한 사용자 정의 역할 승인자 조회 수정' 백포트
• [18.5] Cloud Native GitLab에서 /admin/sidekiq CSS 자산이 로드되지 않는 문제 수정
• 'rules:if에서 중첩된 변수 확장 지원' 백포트를 'master'로
• 18-5 E2E 테스트 백포트: 장기간 격리된 e2e 테스트 격리
• '병합 요청 위젯 폴링 경쟁 조건 수정' 백포트
• Sidekiq 역할: 기본적으로 rails recipies 활성화 [18.5 백포트]
• [18.5] nginx['default_server_enabled'] 구성 매개변수 추가
• 'fix-registry-commands-permission-for-non-docker'를 '18-5-stable'로 백포트

18.4.5

• 단일 zoekt 노드를 사용할 수 있는 경우 Zoekt 롤아웃이 제대로 작동하지 않는 문제 백포트
• '라이선스 이름 지원을 EE로 이동' 백포트
• E2E 테스트: 장기간 격리된 스펙 격리 18-4
• 테스트: 위키 스펙 격리 18-4
• 백포트: 검색을 사용한 태그 API 첫 페이지 페이지네이션 수정
• [백포트] 데이터 제한을 위해 blob 복잡성 완화
• [18.4] Cloud Native GitLab에서 /admin/sidekiq CSS 자산이 로드되지 않는 문제 수정
• 18-4 E2E 테스트 백포트: 장기간 격리된 e2e 테스트 격리
• eventmachine-tail gem을 버전 0.6.6으로 업데이트
• Sidekiq 역할: 기본적으로 rails recipies 활성화 [18.4 백포트]
• 'fix-registry-commands-permission-for-non-docker'를 '18-4-stable'로 백포트

업그레이드 시 중요 사항

---

이 패치에는 업그레이드 프로세스에 영향을 줄 수 있는 데이터베이스 마이그레이션이 포함되어 있습니다.

설치에 미치는 영향:

• 단일 노드 인스턴스: GitLab이 시작되기 전에 마이그레이션이 완료되어야 하므로 이 패치는 업그레이드 중에 다운타임을 발생시킵니다.
• 다중 노드 인스턴스: 적절한 무중단 업그레이드 절차를 사용하면 이 패치를 다운타임 없이 적용할 수 있습니다.

배포 후 마이그레이션

다음 버전에는 업그레이드 후에 실행할 수 있는 배포 후 마이그레이션이 포함되어 있습니다:

• 18.6.1

업그레이드가 설치에 미치는 영향에 대한 자세한 내용은 다음을 참조하십시오:

• 다중 노드 배포를 위한 무중단 업그레이드
• 단일 노드 설치를 위한 표준 업그레이드

업데이트

---

GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.

원문 바로가기

더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다. 지금 문의하기