GitLab 보안 패치 릴리즈 18.9.1, 18.8.5, 18.7.5

오늘 GitLab Community Edition(CE)과 Enterprise Edition(EE)에 대해 18.9.1, 18.8.5, 18.7.5 버전이 출시되었습니다. 이 버전들은 9건의 보안 수정 사항과 다수의 버그 수정을 포함하고 있으므로, 모든 셀프 관리형 GitLab 인스턴스는 즉시 이 중 하나의 버전으로 업그레이드하시길 강력히 권장합니다. GitLab.com은 이미 보안 패치가 적용된 버전을 사용 중이며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다. GitLab은 패치 릴리즈를 통해 취약점에 대한 수정사항을 제공합니다. 패치 릴리즈는 정기 릴리즈와 심각도가 높은 취약점에 대한 긴급 릴리즈, 이렇게 두 가지 유형이 있습니다. 정기 릴리즈는 매월 둘째, 넷째 수요일에 배포됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ에서 확인하실 수 있습니다. 모든 GitLab 릴리즈 블로그 게시글은 여기에서 볼 수 있습니다.

보안 수정 사항의 경우, 각 취약점에 대한 상세 이슈는 패치가 적용된 릴리즈 이후 30일이 지나면 이슈 트래커를 통해 공개됩니다. GitLab은 고객에게 노출되거나 고객 데이터를 저장하는 모든 측면이 최고 수준의 보안 기준을 충족하도록 최선을 다하고 있습니다. 보안 수준을 유지하기 위해, 모든 고객이 지원되는 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안 모범 사례에 대해서는 저희 블로그의 관련 게시글을 참고해 주세요.

권장 조치

아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치를 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다.

제품의 특정 배포 유형(omnibus, 소스 코드, helm 차트 등)이 언급되지 않은 경우, 모든 유형이 영향을 받는다는 것을 의미합니다.

CVE	제목	심각도
CVE-2026-0752	Mermaid 샌드박스의 크로스 사이트 스크립팅(XSS) 문제가 GitLab CE/EE에 영향	높음
CVE-2025-14511	컨테이너 레지스트리의 서비스 거부 문제가 GitLab CE/EE에 영향	높음
CVE-2026-1662	Jira 이벤트 엔드포인트의 서비스 거부 문제가 GitLab CE/EE에 영향	높음
CVE-2026-1388	Merge Request의 정규표현식 서비스 거부 문제가 GitLab CE/EE에 영향	높음
CVE-2026-2845	Bitbucket Server 임포터의 속도 제한 누락 문제가 GitLab CE/EE에 영향	중간
CVE-2025-3525	CI 트리거 API의 서비스 거부 문제가 GitLab CE/EE에 영향	중간
CVE-2026-1725	토큰 디코더의 서비스 거부 문제가 GitLab CE/EE에 영향	중간
CVE-2026-1747	Conan 패키지 레지스트리의 부적절한 접근 제어 문제가 GitLab EE에 영향	중간
CVE-2025-14103	CI 잡 뮤테이션의 접근 제어 문제가 GitLab CE/EE에 영향	중간

Mermaid 샌드박스의 크로스 사이트 스크립팅(XSS) 문제가 GitLab CE/EE에 영향

GitLab은 인증되지 않은 사용자가 특정 상황에서 Mermaid 샌드박스 UI에 임의의 스크립트를 삽입할 수 있었던 문제를 해결했습니다. 이 취약점은 사용자 세션 보안에 직접적인 영향을 미치므로 최우선 대응이 필요합니다.

영향받는 버전: GitLab CE/EE: 16.2부터 18.7.5 이전, 18.8부터 18.8.5 이전, 18.9부터 18.9.1 이전의 모든 버전

CVSS 8.0 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N)

컨테이너 레지스트리의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 인증되지 않은 사용자가 특정 상황에서 레지스트리 이벤트 엔드포인트에 특수하게 조작된 파일을 전송하여 서비스 거부를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 12.2부터 18.7.5 이전, 18.8부터 18.8.5 이전, 18.9부터 18.9.1 이전의 모든 버전

CVSS 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

Jira 이벤트 엔드포인트의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 인증되지 않은 사용자가 Jira 이벤트 엔드포인트에 특수하게 조작된 요청을 전송하여 서비스 거부를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 14.4부터 18.7.5 이전, 18.8부터 18.8.5 이전, 18.9부터 18.9.1 이전의 모든 버전

CVSS 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

Merge Request의 정규표현식 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 인증되지 않은 사용자가 특정 상황에서 Merge Request 엔드포인트에 특수하게 조작된 입력을 전송하여 정규표현식 서비스 거부(ReDoS)를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 9.2부터 18.7.5 이전, 18.8부터 18.8.5 이전, 18.9부터 18.9.1 이전의 모든 버전

CVSS 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

Bitbucket Server 임포터의 속도 제한 누락 문제가 GitLab CE/EE에 영향

GitLab은 인증된 사용자가 Bitbucket Server 임포트 엔드포인트를 통해 대용량 응답을 반복 전송하여 서비스 거부를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 11.2부터 18.7.5 이전, 18.8부터 18.8.5 이전, 18.9부터 18.9.1 이전의 모든 버전

CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

CI 트리거 API의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 특정 접근 권한을 가진 인증된 사용자가 특정 상황에서 API를 통해 특수하게 조작된 CI 트리거를 생성하여 서비스 거부를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 9.0부터 18.7.5 이전, 18.8부터 18.8.5 이전, 18.9부터 18.9.1 이전의 모든 버전

CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

토큰 디코더의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 인증되지 않은 사용자가 특정 상황에서 CI 잡 API 엔드포인트에 특수하게 조작된 요청을 전송하여 서비스 거부를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 18.9부터 18.9.1 이전의 모든 버전

CVSS 5.3 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L)

Conan 패키지 레지스트리의 부적절한 접근 제어 문제가 GitLab EE에 영향

GitLab은 Developer 역할의 사용자가 특정 상황에서 보호된 Conan 패키지에 대해 무단 수정을 수행할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab EE: 17.11부터 18.7.5 이전, 18.8부터 18.8.5 이전, 18.9부터 18.9.1 이전의 모든 버전

CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N)

CI 잡 뮤테이션의 접근 제어 문제가 GitLab CE/EE에 영향

GitLab은 권한이 부족한 Developer 역할의 사용자가 특정 상황에서 수동 트리거 잡에 대해 파이프라인 변수를 설정할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 17.7부터 18.7.5 이전, 18.8부터 18.8.5 이전, 18.9부터 18.9.1 이전의 모든 버전

CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N)

버그 수정 및 개선사항

18.9.1

• Premium 플랜의 시맨틱 코드 검색 수정
• 네임스페이스 AI 데이터 수집 설정 사용 구현
• AI 데이터 수집 문서 업데이트
• 에이전트 플로우 쿼리에 제외 유형 파라미터 추가
• 서비스 계정의 그룹 멤버십 잠금 우회 수정
• 릴리즈 환경에 대한 CI 토큰 사용 수정
• Zoekt의 includeForked 버그 수정
• 멤버 초대가 비활성화된 경우 플로우 추가 수정
• 짧은 PAT 수명 설정 시 워크스페이스 PAT 생성 수정
• 복합 ID 온보딩의 API 의존성 제거

18.8.5

• SM 체험판의 GitLab Credits 대시보드 페이지 비활성화
• Workhorse: DWS 잠금을 위한 잘못 구성된 Redis 무시
• 상세 Merge 상태의 리베이스 검사 건너뛰기
• Merge Request 목록 API의 첫 바이트 응답 시간 저하 수정
• gitlab-cloud-connector gem을 1.44로 업데이트
• 사용되지 않는 zoektCrossNamespaceSearch 기능 플래그 참조 제거
• 봇 아바타 에셋을 app/assets로 이동하여 에셋 파이프라인에 포함
• Geo Primary 검증: 체크섬 계산 시 실제 검증 상태 확인
• GraphQL 인트로스펙션 쿼리 수정
• MoveCiBuildsMetadata 백그라운드 마이그레이션의 PG::UntranslatableCharacter 수정
• MergeRequestResetApprovals Worker 최적화
• 사용되지 않는 retag-gdk-image CI 잡 제거
• Credits 및 DAP의 18.8 이후 지원 문서 추가
• disable_all_mentions 기능 플래그 기본 활성화
• 그룹 임포트 시 마일스톤 제목 유효성 검사
• Workhorse: 유효하지 않은 WebSocket 업그레이드 없이 /cable에 400 반환
• 테스트 환경에서 Feature.enabled? 오버라이드 건너뛰기
• Zoekt의 includeForked 버그 수정
• 서비스 계정의 그룹 멤버십 잠금 우회 수정
• 멤버 초대가 비활성화된 경우 플로우 추가 수정
• group_push_rules 기본 키 시퀀스 재설정
• 짧은 PAT 수명 설정 시 워크스페이스 PAT 생성 수정
• 고급 위키 검색에 새 인증 방식 적용

18.7.5

• Zoekt 인덱싱 시 인덱스 없는 레플리카 정리 수정
• Merge Request 목록 API의 첫 바이트 응답 시간 저하 수정
• 그룹 임포트 시 마일스톤 제목 유효성 검사
• 사용되지 않는 retag-gdk-image CI 잡 제거
• Workhorse: 유효하지 않은 WebSocket 업그레이드 없이 /cable에 400 반환
• group_push_rules 기본 키 시퀀스 재설정
• 고급 위키 검색에 새 인증 방식 적용

업그레이드 시 참고사항

SLES 12.5 패키지

GitLab 18.9.1에 대한 SLES 12.5 패키지는 제공되지 않습니다.

마이그레이션 정보

이번 릴리즈에는 데이터베이스 마이그레이션이 포함되어 있습니다.

인스턴스 유형별 영향

• 단일 노드 인스턴스: Omnibus 패키지는 기본적으로 중지, 마이그레이션 실행, 재시작 순서로 진행되며 다운타임이 발생합니다. skip-auto-reconfigure 설정 파일을 통해 이 동작을 변경할 수 있습니다.
• 다중 노드 인스턴스: 적절한 구성을 통해 제로 다운타임 업그레이드가 가능합니다.

배포 후 마이그레이션

18.8.5에는 배포 후 마이그레이션이 포함되어 있으며, 업그레이드 완료 후 실행할 수 있습니다.

업데이트

GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.

원문 바로가기

더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다.