오늘 GitLab Community Edition(CE)과 Enterprise Edition(EE)에 대해 18.8.2, 18.7.2, 18.6.4 버전이 출시되었습니다. 이 버전들은 중요한 버그 및 보안 수정 사항을 포함하고 있으므로, 모든 셀프 관리형 GitLab 인스턴스는 즉시 이 중 하나의 버전으로 업그레이드하시길 강력히 권장합니다. GitLab.com은 이미 보안 패치가 적용된 버전을 사용 중이며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다. GitLab은 패치 릴리즈를 통해 취약점에 대한 수정사항을 �제공합니다. 패치 릴리즈는 정기 릴리즈와 심각도가 높은 취약점에 대한 긴급 릴리즈, 이렇게 두 가지 유형이 있습니다. 정기 릴리즈는 매월 둘째, 넷째 수요일에 배포됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ에서 확인하실 수 있습니다. 모든 GitLab 릴리즈 블로그 게시글은 여기에서 볼 수 있습니다.
보안 수정 사항의 경우, 각 취약점에 대한 상세 이슈는 패치가 적용된 릴리즈 이후 30일이 지나면 이슈 트래커를 통해 공개됩니다. GitLab은 고객에게 노출되거나 고객 데이터를 저장하는 모든 측면이 최고 수준의 보안 기준을 충족하도록 최선을 다하고 있습니다. 보안 수준을 유지하기 위해, 모든 고객이 지원되는 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안 모범 사례에 대해서는 저희 블로그의 관련 게시글을 참고해 주세요.
권장 조치
아래 설명된 문제의 영향��을 받는 버전을 실행 중인 모든 설치를 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다.
제품의 특정 배포 유형(omnibus, 소스 코드, helm 차트 등)이 언급되지 않은 경우, 모든 유형이 영향을 받는다는 것을 의미합니다.
| 제목 | 심각도 |
|---|---|
| Jira Connect 통합의 서비스 거부 문제가 GitLab CE/EE에 영향 | 높음 |
| Releases API의 부정확한 인가 문제가 GitLab CE/EE에 영향 | 높음 |
| 이중 인증(2FA) 우회 문제가 GitLab CE/EE에 영향 | 높음 |
| Wiki 리디렉트의 무한 루프 문제가 GitLab CE/EE에 영향 | 중간 |
| SSH 인증의 서비스 거부 문제가 GitLab CE/EE에 영향 | 중간 |
Jira Connect 통합의 서비스 거부 문제가 GitLab CE/EE에 영향
GitLab은 인증되지 않은 사용자가 조작된 인증 데이터가 포함된 요청을 전송하여 서비스 거부(DoS) 상태를 유발할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 11.9부터 18.6.3 이전, 18.7부터 18.7.1 이전, 18.8부터 18.8.1 이전의 모든 버전
CVSS 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
Releases API의 부정확한 인가 문제가 GitLab CE/EE에 영향
GitLab은 API 엔드포인트에서 인가(Authorization) 검증이 올바르게 수행되지 않아 인증되지 않은 사용자가 서비스 거부를 유발할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 17.7부터 18.6.3 이전, 18.7부터 18.7.1 이전, 18.8부터 18.8.1 이전의 모든 버전
CVSS 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
이중 인증(2FA) 우회 문제가 GitLab CE/EE에 영향
GitLab은 자격 증명 ID를 알고 있는 공격자가 위조된 디바이스 응답을 제출하여 이중 인증(2FA)을 우회할 수 있었던 문제를 해결했습니다. 이 취약점은 인증 보안에 직접적인 영향을 미치므로 최우선 대응이 필요합니다.
영향받는 버전: GitLab CE/EE: 18.6부터 18.6.3 이전, 18.7부터 18.7.1 이전, 18.8부터 18.8.1 이전의 모든 버전
CVSS 7.4 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N)
Wiki 리디렉트의 무한 루프 문제가 GitLab CE/EE에 영향
GitLab은 인증된 사용자가 순환 감지(Cycle Detection)를 우회하는 조작된 Wiki 문서를 생성하여 무한 리디렉트 루프를 유발할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 17.1부터 18.6.3 이전, 18.7부터 18.7.1 이전, 18.8부터 18.8.1 이전의 모든 버전
CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
SSH 인증의 서비스 거부 문제가 GitLab CE/EE에 영향
GitLab은 인증되지 않은 사용자가 반복적으로 조작된 SSH 인증 요청을 전송��하여 서비스 거부 상태를 유발할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 12.3부터 18.6.3 이전, 18.7부터 18.7.1 이전, 18.8부터 18.8.1 이전의 모든 버전
CVSS 5.3 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)
버그 수정 및 개선사항
18.8.2
- External Agent Configurations GA 프로모션 관련 설정 수정
- GitLab Dedicated Semantic Search 시맨틱 검색 제거 처리
- Merge Request 리뷰어 드롭다운 크래시 해결
- Workflow Service 사용자 ID 파라미터 전달 수정
- AI Catalogs External Agents 시드 태스크 수정
- AI Catalog & Foundational Flows 정책 분리 처리
18.7.2
- 취약점 발생 조회 취약점 occurrence 페칭 로직 수정
- 서비스 계정 기능 플래그 Feature flag 제거
- Import Specification Quarantine 처리
- Searchable 드롭다운 경쟁 상태(Race Condition) 수정
- 알림 Reply Key 인덱스 재생성
- 컨테이너 레포지토리 인덱스 1:1 관계 처리 수정
- Migration Health Check 엔드포인트 복구
- 코드 에디터 Soft Wrap 접근성 지원
- Remote Flows Git Push 에러 해결
- Git LFS HTTP 스로틀링 제외 처리
- Code Review Flow 히스토리 수정
- Duo Chat Amazon Q 버튼 가시성 수정
- 사용자 네임스페이스 Zoekt 인덱싱 수정
- ClickHouse Worker 파이프라인/빌드 동기화 설정
18.6.4
- 서비스 계정 기능 플래그 Feature flag 제거
- Import Specification Quarantine 처리
- Searchable 드롭다운 경쟁 상태 수정
- 컨테이너 레포지토리 인덱스 관계 처리 수정
- 코드 에디터 Soft Wrap 접근성 지원
- Remote Flows Git Push 에러 해결
- Git LFS HTTP 스로틀링 제외 처리
- 사용자 네임스페이스 Zoekt 인덱싱 수정
- ClickHouse Worker 설정 조정
- SLES 12.5 릴리즈 작업 설정
- Pulp FIPS 작업 순서 조정
- Builder 이미지 태그 수정
업그레이드 시 중요 참고사항 및 마이그레이션
데이터베이스 마이그레이션 영향
이 패치에는 업그레이드 프로세스에 영향을 주는 데이터베이스 마이그레이션이 포함되어 있습니다.
인스턴스 유형별 영향
- 단일 노드 인스턴스: GitLab 시작 전에 마이그레이션이 완료되어야 하므로 업그레이드 중 다운타임이 발생합니다.
- 다중 노드 인스턴스: 무중단 업그레이드 절차를 따르면 다운타임 없이 패치를 적용할 수 있습니다.
배포 후 마이그레이션 포함 버전
- 18.8.2
- 18.7.2
참고 문서
- 다중 노드 배포: 무중단 업그레이드 가이드
- 단일 노드 설치: 표준 업그레이드 가이드
업데이트
GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.
더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다.