오늘 GitLab Community Edition(CE)과 Enterprise Edition(EE)에 대해 18.7.1, 18.6.3, 18.5.5 버전이 출시되었습니다.

이 버전들은 중요한 버그 및 보안 수정 사항을 포함하고 있으므로, 모든 셀프 관리형 GitLab 인스턴스는 즉시 이 중 하나의 버전으로 업그레이드하시길 강력히 권장합니다. GitLab.com은 이미 보안 패치가 적용된 버전을 사용 중이며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다. GitLab은 패치 릴리즈를 통해 취약점에 대한 수정사항을 제공합니다. 패치 릴리즈는 정기 릴리즈와 심각도가 높은 취약점에 대한 긴급 릴리즈, 이렇게 두 가지 유형이 있습니다. 정기 릴리즈는 매월 둘째, 넷째 수요일에 배포됩니다. 자세한 내용은 릴리즈 핸드북보안 FAQ에서 확인하실 수 있습니다. 모든 GitLab 릴리즈 블로그 게시글은 여기에서 볼 수 있습니다.

보안 수정 사항의 경우, 각 취약점에 대한 상세 이슈는 패치가 적용된 릴리즈 이후 30일이 지나면 이슈 트래커를 통해 공개됩니다. GitLab은 고객에게 노출되거나 고객 데이터를 저장하는 모든 측면이 최고 수준의 보안 기준을 충족하도록 최선을 다하고 있습니다. 보안 수준을 유지하기 위해, 모든 고객이 지원되는 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안 모범 사례에 대해서는 저희 블로그의 관련 게시글을 참고해 주세요.

권장 조치

아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치를 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다.

제품의 특정 배포 유형(omnibus, 소스 코드, helm 차트 등)이 언급되지 않은 경우, 모든 유형이 영향을 받는다는 것을 의미합니다.

제목심각도
GitLab Flavored Markdown 플레이스홀더의 저장된 크로스 사이트 스크립팅 문제가 GitLab CE/EE에 영향높음
Web IDE의 크로스 사이트 스크립팅 문제가 GitLab CE/EE에 영향높음
Duo Workflows API의 권한 부족 문제가 GitLab EE에 영향높음
가져오기 기능의 서비스 거부 문제가 GitLab CE/EE에 영향중간
AI GraphQL 변경의 권한 부족 문제가 GitLab EE에 영향중간
GraphQL runnerUpdate 변경의 불충분한 접근 제어 문제가 GitLab CE/EE에 영향중간
Mermaid 다이어그램 렌더링의 정보 공개 문제가 GitLab CE/EE에 영향낮음

GitLab Flavored Markdown 플레이스홀더의 저장된 크로스 사이트 스크립팅 문제가 GitLab CE/EE에 영향

GitLab은 인증된 사용자가 GitLab Flavored Markdown 플레이스홀더 처리를 악용하여 저장된 크로스 사이트 스크립팅을 실행할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 18.2.2부터 18.5.5 이전, 18.6부터 18.6.3 이전, 18.7부터 18.7.1 이전의 모든 버전

CVSS 8.7 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N)

Web IDE의 크로스 사이트 스크립팅 문제가 GitLab CE/EE에 영향

GitLab은 인증되지 않은 사용자가 정당한 사용자를 특수하게 제작된 웹페이지로 유도하여 인증된 사용자의 브라우저 컨텍스트에서 임의의 코드를 실행할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 18.6부터 18.6.3 이전, 18.7부터 18.7.1 이전의 모든 버전

CVSS 8.0 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N)

Duo Workflows API의 권한 부족 문제가 GitLab EE에 영향

GitLab은 인증된 사용자가 API 요청에서 네임스페이스 식별자를 조작하여 권한이 없는 네임스페이스의 AI 모델 설정에 액세스하고 사용할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab EE: 18.4부터 18.5.5 이전, 18.6부터 18.6.3 이전, 18.7부터 18.7.1 이전의 모든 버전

CVSS 7.1 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N)

가져오기 기능의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 인증된 사용자가 외부 API 호출에 대해 조작된 응답을 제공하여 서비스 거부 상태를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 8.3부터 18.5.5 이전, 18.6부터 18.6.3 이전, 18.7부터 18.7.1 이전의 모든 버전

CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

AI GraphQL 변경의 권한 부족 문제가 GitLab EE에 영향

GitLab은 인증된 사용자가 GraphQL 변형에서 누락된 권한 검사를 악용하여 인스턴스 전체 AI 기능 제공자 설정을 수정할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab EE: 18.5부터 18.5.5 이전, 18.6부터 18.6.3 이전, 18.7부터 18.7.1 이전의 모든 버전

CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N)

GraphQL runnerUpdate 변경의 불충분한 접근 제어 문제가 GitLab CE/EE에 영향

GitLab은 특정 권한을 가진 인증된 사용자가 GraphQL 러너 연결을 조작하여 관련 없는 프로젝트에서 모든 프로젝트 러너를 제거할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 15.4부터 18.5.5 이전, 18.6부터 18.6.3 이전, 18.7부터 18.7.1 이전의 모든 버전

CVSS 5.4 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L)

Mermaid 다이어그램 렌더링의 정보 공개 문제가 GitLab CE/EE에 영향

GitLab은 사용자가 에셋 프록시 보호를 우회하는 특수하게 제작된 이미지를 참조하여 민감한 연결 정보를 유출할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 10.3부터 18.5.5 이전, 18.6부터 18.6.3 이전, 18.7부터 18.7.1 이전의 모든 버전

CVSS 3.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N)

Libpng 보안 업데이트

Libpng가 버전 1.6.51로 업데이트되었으며 CVE-2025-65018 및 CVE-2025-64720을 포함한 보안 취약점에 대한 수정 사항이 포함되어 있습니다.

버그 수정 및 개선사항

18.7.1

18.6.3

18.5.5

업그레이드 시 중요 참고사항 및 마이그레이션

데이터베이스 마이그레이션 영향

이 패치에는 업그레이드 프로세스에 영향을 주는 데이터베이스 마이그레이션이 포함되어 있습니다.

인스턴스 유형별 영향

  • 단일 노드 인스턴스: GitLab 시작 전에 마이그레이션이 완료되어야 하므로 업그레이드 중 다운타임이 발생합니다.
  • 다중 노드 인스턴스: 무중단 업그레이드 절차를 따르면 다운타임 없이 패치를 적용할 수 있습니다.

배포 후 마이그레이션 포함 버전

  • 18.7.1
  • 18.6.3

참고 문서

업데이트

GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.

원문 바로가기