GitLab 보안 패치 릴리즈 18.9.2, 18.8.6, 18.7.6

오늘 GitLab Community Edition(CE)과 Enterprise Edition(EE)에 대해 18.9.2, 18.8.6, 18.7.6 버전이 출시되었습니다. 이 버전들은 14건의 보안 수정 사항과 다수의 버그 수정을 포함하고 있으므로, 모든 셀프 관리형 GitLab 인스턴스는 즉시 이 중 하나의 버전으로 업그레이드하시길 강력히 권장합니다. GitLab.com은 이미 보안 패치가 적용된 버전을 사용 중이며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다. GitLab은 패치 릴리즈를 통해 취약점에 대한 수정사항을 제공합니다. 패치 릴리즈는 정기 릴리즈와 심각도가 높은 취약점에 대한 긴급 릴리즈, 이렇게 두 가지 유형이 있습니다. 정기 릴리즈는 매월 둘째, 넷째 수요일에 배포됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ에서 확인하실 수 있습니다. 모든 GitLab 릴리즈 블로그 게시글은 여기에서 볼 수 있습니다.

보안 수정 사항의 경우, 각 취약점에 대한 상세 이슈는 패치가 적용된 릴리즈 이후 30일이 지나면 이슈 트래커를 통해 공개됩니다. GitLab은 고객에게 노출되거나 고객 데이터를 저장하는 모든 측면이 최고 수준의 보안 기준을 충족하도록 최선을 다하고 있습니다. 보안 수준을 유지하기 위해, 모든 고객이 지원되는 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안 모범 사례에 대해서는 저희 블로그의 관련 게시글을 참고해 주세요.

권장 조치

---

아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치를 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다.

제품의 특정 배포 유형(omnibus, 소스 코드, helm 차트 등)이 언급되지 않은 경우, 모든 유형이 영향을 받는다는 것을 의미합니다.

Markdown 플레이스홀더 처리의 크로스 사이트 스크립팅(XSS) 문제가 GitLab CE/EE에 영향

GitLab은 Markdown 플레이스홀더 콘텐츠의 부적절한 새니타이징으로 인해, markdown_placeholders 피처 플래그가 활성화된 환경에서 인증된 사용자가 JavaScript를 삽입할 수 있었던 문제를 해결했습니다. 이 취약점은 이번 패치에서 가장 높은 심각도(CVSS 8.7)로, 즉각적인 업그레이드가 권장됩니다.

영향받는 버전: GitLab CE/EE: 10.6부터 18.7.5 이전, 18.8부터 18.8.5 이전, 18.9부터 18.9.1 이전의 모든 버전

CVSS 8.7 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N)

GraphQL API의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 특정 상황에서 제어되지 않은 재귀(Uncontrolled Recursion)로 인해, 인증되지 않은 사용자가 조작된 GraphQL 요청을 전송하여 서비스 거부(DoS) 상태를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 18.9부터 18.9.1 이전의 모든 버전

CVSS 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

Repository 아카이브 엔드포인트의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 인증되지 않은 사용자가 Repository 아카이브 엔드포인트에 조작된 요청을 전송하여 서비스 거부 상태를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 10.0부터 18.7.5 이전, 18.8부터 18.8.5 이전, 18.9부터 18.9.1 이전의 모든 버전

CVSS 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

Protected Branches API의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 Protected Branches API에서 조작된 JSON 페이로드의 부적절한 입력 검증으로 인해, 인증되지 않은 사용자가 서비스 거부 공격을 수행할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 16.11부터 18.7.5 이전, 18.8부터 18.8.5 이전, 18.9부터 18.9.1 이전의 모든 버전

CVSS 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

Webhook 커스텀 헤더의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 Webhook 커스텀 헤더 이름의 부적절한 입력 검증으로 인해, 인증된 사용자가 서비스 거부 상태를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 16.11부터 18.7.5 이전, 18.8부터 18.8.5 이전, 18.9부터 18.9.1 이전의 모든 버전

CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

Webhook 엔드포인트의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 Webhook 응답 데이터의 부적절한 처리로 인해, 특정 조건에서 인증된 사용자가 서비스 거부 상태를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 9.3부터 18.7.5 이전, 18.8부터 18.8.5 이전, 18.9부터 18.9.1 이전의 모든 버전

CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

Import 기능의 CRLF 인젝션 문제가 GitLab CE/EE에 영향

GitLab은 Import 기능의 부적절한 입력 검증으로 인해, 인증된 사용자가 프록시 환경에서 의도하지 않은 내부 요청을 수행할 수 있었던 CRLF 시퀀스 중화 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 8.11부터 18.7.5 이전, 18.8부터 18.8.5 이전, 18.9부터 18.9.1 이전의 모든 버전

CVSS 5.0 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:N)

Runners API의 부적절한 접근 제어 문제가 GitLab CE/EE에 영향

GitLab은 Runners API의 부적절한 인가 검증으로 인해, 인증된 사용자가 비활성화된 기능이 있는 프로젝트의 이전 파이프라인 작업 정보에 접근할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 15.1부터 18.7.5 이전, 18.8부터 18.8.5 이전, 18.9부터 18.9.1 이전의 모든 버전

CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)

Snippet 렌더링의 부적절한 접근 제어 문제가 GitLab CE/EE에 영향

GitLab은 Snippet 렌더링 과정의 부적절한 필터링으로 인해, 인증된 사용자가 비공개 이슈, 머지 리퀘스트, 에픽, 마일스톤 또는 커밋의 메타데이터를 유출할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 15.6부터 18.7.5 이전, 18.8부터 18.8.5 이전, 18.9부터 18.9.1 이전의 모든 버전

CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)

접근 불가 이슈의 정보 유출 문제가 GitLab CE/EE에 영향

GitLab은 특정 상황에서 부적절한 필터링으로 인해, 인증된 사용자가 비밀(Confidential) 이슈의 제목을 유출할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 12.6부터 18.7.5 이전, 18.8부터 18.8.5 이전, 18.9부터 18.9.1 이전의 모든 버전

CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)

그룹 Import의 인가 누락 문제가 GitLab CE/EE에 영향

GitLab은 그룹 Import 과정의 부적절한 인가 검증으로 인해, Import 권한이 있는 인증된 사용자가 비공개 프로젝트에 라벨을 생성할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 14.4부터 18.7.5 이전, 18.8부터 18.8.5 이전, 18.9부터 18.9.1 이전의 모든 버전

CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N)

Repository 다운로드의 잘못된 참조 문제가 GitLab CE/EE에 영향

GitLab은 브랜치 참조의 잘못된 검증으로 인해, 인증된 사용자가 웹 인터페이스에 표시된 것과 다른 코드가 포함된 Repository 다운로드를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 1.0부터 18.7.5 이전, 18.8부터 18.8.5 이전, 18.9부터 18.9.1 이전의 모든 버전

CVSS 4.1 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N)

Virtual Registry의 부적절한 인가 문제가 GitLab EE에 영향

GitLab은 특정 조건에서 부적절한 인가로 인해, 인증된 사용자가 멤버가 아닌 그룹의 Virtual Registry 데이터에 접근할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab EE: 18.2부터 18.7.5 이전, 18.8부터 18.8.5 이전, 18.9부터 18.9.1 이전의 모든 버전

CVSS 3.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N)

Datadog 연동의 부적절한 이스케이핑 문제가 GitLab CE/EE에 영향

GitLab은 Maintainer 역할 권한을 가진 인증된 사용자가 특정 조건에서 Datadog API 자격증명을 노출시킬 수 있었던 부적절한 이스케이핑 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 15.5부터 18.7.5 이전, 18.8부터 18.8.5 이전, 18.9부터 18.9.1 이전의 모든 버전

CVSS 2.2 (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:N/A:N)

버그 수정 및 개선사항

---

18.9.2

• GitLab 기본 캐싱 수정
• GOMAXPROCS 제어 설정 추가
• simulate_saas rake 태스크의 테스트 오염 수정
• 플레이스홀더 사용자 재할당 실패 로그에 백트레이스 추가
• Bitbucket Cloud 임포터 워크스페이스 범위 리포지토리 가져오기 업데이트
• 기존 DAP 트러블슈팅 문서 제거
• 단일 레코드 헬퍼 수정
• ConcurrencyLimit::WorkerExecutionTracker 로그 감소
• text-embedding-005 요청의 배치 크기 축소
• Zoekt 필터 트랜스파일러 수정
• 세션 쿼리의 제외 타입 수정
• MCP 요청에 대한 파라미터 검증 건너뛰기
• Historical Addon Assignments - SM의 네임스페이스 경로 무시
• Jira Server/Data Center 이슈 페이지네이션 처리
• Deployments 및 Size quota 스펙 개선
• 중간 그룹 수준에서 코드 검색 결과 미표시 수정
• ConcurrencyLimit::ResumeWorker cron 설정을 CE로 이동
• 패키지 마이그레이트 태스크를 메타데이터 캐시 및 심볼로 확장
• 보안 작업 취소 시 정책 승인 차단 해제 방지
• gpg_commit_delegate_to_signature 피처 플래그 정리 되돌리기
• 기본 AI 접근 규칙 지원
• 포크 소유 시 Maintainer 편집 수정
• 새 데이터베이스에서 gitlab:setup 실패 수정
• Mattermost 보안 업데이트 및 인프라 패치

18.8.6

• Go 1.25.7 업그레이드
• GitLab 기본 캐싱 수정
• ClickHouse DB 초기화 스키마 검사
• GOMAXPROCS 설정 추가
• PipelineSecurityReportFindings 쿼리 타임아웃 수정
• 릴리즈 환경용 CI 토큰 수정
• SyncProjectPolicyWorker의 RecordInvalid 처리
• Bitbucket Cloud 임포터 업데이트
• ConcurrencyLimit::WorkerExecutionTracker 로그 감소
• 단일 레코드 헬퍼 수정
• Duo 사이드바 접근 수정
• Zoekt 필터 트랜스파일러 수정
• Historical Addon Assignments - SM의 네임스페이스 경로 무시
• Jira Server/Data Center 이슈 페이지네이션 처리
• 중간 그룹 수준에서 코드 검색 결과 미표시 수정
• ConcurrencyLimit::ResumeWorker cron 설정을 CE로 이동
• 기본 AI 접근 규칙 지원
• Agentic Chat의 명령 실행 경쟁 조건 수정
• Mattermost 보안 업데이트 및 인프라 패치

18.7.6

• Go 1.25.7 업그레이드
• GitLab 기본 캐싱 수정
• 릴리즈 환경용 CI 토큰 수정
• SyncProjectPolicyWorker의 RecordInvalid 처리
• Bitbucket Cloud 임포터 업데이트
• ConcurrencyLimit::WorkerExecutionTracker 로그 감소
• Zoekt 필터 트랜스파일러 수정
• 중간 그룹 수준에서 코드 검색 결과 미표시 수정
• Historical Addon Assignments - SM의 네임스페이스 경로 무시
• Jira Server/Data Center 이슈 페이지네이션 처리
• Deployments 및 Size quota 스펙 개선
• ConcurrencyLimit::ResumeWorker cron 설정을 CE로 이동
• RTE 이미지 리사이징 어설션 로직 수정
• Mattermost 보안 업데이트 및 인프라 패치

업그레이드 시 중요 참고사항 및 마이그레이션

---

데이터베이스 마이그레이션 영향

이 패치에는 업그레이드 프로세스에 영향을 주는 데이터베이스 마이그레이션이 포함되어 있습니다.

인스턴스 유형별 영향

• 단일 노드 인스턴스: GitLab 시작 전에 마이그레이션이 완료되어야 하므로 업그레이드 중 다운타임이 발생합니다.
• 다중 노드 인스턴스: 무중단 업그레이드 절차를 따르면 다운타임 없이 패치를 적용할 수 있습니다.

배포 후 마이그레이션 포함 버전

• 18.9.2
• 18.8.6

참고 문서

• 다중 노드 배포: 무중단 업그레이드 가이드
• 단일 노드 설치: 표준 업그레이드 가이드

업데이트

---

GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.

원문 바로가기

더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다.