GitLab 보안 패치 릴리즈 18.10.1, 18.9.3, 18.8.7
Eva
오늘 GitLab Community Edition(CE)과 Enterprise Edition(EE)에 대해 18.10.1, 18.9.3, 18.8.7 버전이 출시되었습니다. 이 버전들은 12건의 보안 수정 사항과 다수의 버그 수정을 포함하고 있으므로, 모든 셀프 관리형 GitLab 인스턴스는 즉시 이 중 하나의 버전으로 업그레이드하시길 강력히 권장합니다. GitLab.com은 이미 보안 패치가 적용된 버전을 사용 중이며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다. GitLab은 패치 릴리즈를 통해 취약점에 대한 수정사항을 제공합니다. 패치 릴리즈는 정기 릴리즈와 심각도가 높은 취약점에 대한 긴급 릴리즈, 이렇게 두 가지 유형이 있습니다. 정기 릴리즈는 매월 둘째, 넷째 수요일에 배포됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ에서 확인하실 수 있습니다. 모든 GitLab 릴리즈 블로그 게시글은 여기에서 볼 수 있습니다.
보안 수정 사항의 경우, 각 취약점에 대한 상세 이슈는 패치가 적용된 릴리즈 이후 30일이 지나면 이슈 트래커를 통해 공개됩니다. GitLab은 고객에게 노출되거나 고객 데이터를 저장하는 모든 측면이 최고 수준의 보안 기준을 충족하도록 최선을 다하고 있습니다. 보안 수준을 유지하기 위해, 모든 고객이 지원되는 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안 모범 사례에 대해서는 저희 블로그의 관련 게시글을 참고해 주세요.
권장 조치
아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치를 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다.
제품의 특정 배포 유형(omnibus, 소스 코드, helm 차트 등)이 언급되지 않은 경우, 모든 유형이 영향을 받는다는 것을 의미합니다.
| CVE | 제목 | 심각도 | CVSS |
|---|---|---|---|
| CVE-2026-2370 | Jira Connect의 부적절한 파라미터 처리 문제가 GitLab CE/EE에 영향 | 높음 | 8.1 |
| CVE-2026-3857 | GLQL API의 크로스 사이트 요청 위조(CSRF) 문제가 GitLab CE/EE에 영향 | 높음 | 8.1 |
| CVE-2026-2995 | 취약점 보고서의 HTML 인젝션 문제가 GitLab EE에 영향 | 높음 | 7.7 |
| CVE-2026-3988 | GraphQL API의 서비스 거부 문제가 GitLab CE/EE에 영향 | 높음 | 7.5 |
| CVE-2026-2745 | WebAuthn 2FA의 부적절한 접근 제어 문제가 GitLab CE/EE에 영향 | 중간 | 6.8 |
| CVE-2026-1724 | GraphQL 쿼리의 부적절한 접근 제어 문제가 GitLab EE에 영향 | 중간 | 6.8 |
| CVE-2025-13436 | CI 구성 처리의 서비스 거부 문제가 GitLab CE/EE에 영향 | 중간 | 6.5 |
| CVE-2025-13078 | Webhook 구성의 서비스 거부 문제가 GitLab CE/EE에 영향 | 중간 | 6.5 |
| CVE-2026-2973 | Mermaid 다이어그램 렌더러의 크로스 사이트 스크립팅(XSS) 문제가 GitLab CE/EE에 영향 | 중간 | 5.4 |
| CVE-2026-2726 | 머지 리퀘스트의 부적절한 접근 제어 문제가 GitLab CE/EE에 영향 | 중간 | 4.3 |
| CVE-2025-14595 | GraphQL API의 접근 제어 문제가 GitLab EE에 영향 | 중간 | 4.3 |
| CVE-2026-4363 | 인가 캐싱의 잘못된 인가 문제가 GitLab EE에 영향 | 낮음 | 3.7 |
Jira Connect의 부적절한 파라미터 처리 문제가 GitLab CE/EE에 영향
GitLab은 Jira Connect 기능의 부적절한 파라미터 처리로 인해, 인증된 사용자가 무단으로 높은 권한의 작업을 수행할 수 있었던 문제를 해결했습니다. 이 취약점은 이번 패치에서 가장 높은 심각도(CVSS 8.1)로, 즉각적인 업그레이드가 권장됩니다.
영향받는 버전: GitLab CE/EE: 14.3부터 18.8.7 이전, 18.9부터 18.9.3 이전, 18.10부터 18.10.1 이전의 모든 버전
CVSS 8.1 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
GLQL API의 크로스 사이트 요청 위조(CSRF) 문제가 GitLab CE/EE에 영향
GitLab은 GLQL API의 CSRF 보호 미비로 인해, 인증되지 않은 사용자가 조작된 요청을 통해 인증된 사용자의 권한으로 작업을 수행할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 17.10부터 18.8.7 이전, 18.9부터 18.9.3 이전, 18.10부터 18.10.1 이전의 모든 버전
CVSS 8.1 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N)
취약점 보고서의 HTML 인젝션 문제가 GitLab EE에 영향
GitLab은 취약점 보고서의 부적절한 입력 검증으로 인해, 인증된 사용자가 악성 HTML을 삽입하여 다른 사용자의 세션에서 임의의 콘텐츠를 렌더링할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab EE: 15.4부터 18.8.7 이전, 18.9부터 18.9.3 이전, 18.10부터 18.10.1 이전의 모든 버전
CVSS 7.7 (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:N)
GraphQL API의 서비스 거부 문제가 GitLab CE/EE에 영향
GitLab은 GraphQL API의 부적절한 쿼리 처리로 인해, 인증되지 않은 사용자가 조작된 쿼리를 전송하여 서비스 거부(DoS) 상태를 유발할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 18.5부터 18.8.7 이전, 18.9부터 18.9.3 이전, 18.10부터 18.10.1 이전의 모든 버전
CVSS 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
WebAuthn 2FA의 부적절한 접근 제어 문제가 GitLab CE/EE에 영향
GitLab은 WebAuthn 2단계 인증의 부적절한 접근 제어로 인해, 특정 조건에서 인증된 사용자가 2FA를 우회할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 7.11부터 18.8.7 이전, 18.9부터 18.9.3 이전, 18.10부터 18.10.1 이전의 모든 버전
CVSS 6.8 (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N)
GraphQL 쿼리의 부적절한 접근 제어 문제가 GitLab EE에 영향
GitLab은 GraphQL 쿼리의 부적절한 접근 제어로 인해, 인증되지 않은 사용자가 특정 조건에서 비공개 데이터에 접근할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab EE: 18.5부터 18.8.7 이전, 18.9부터 18.9.3 이전, 18.10부터 18.10.1 이전의 모든 버전
CVSS 6.8 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N)
CI 구성 처리의 서비스 거부 문제가 GitLab CE/EE에 영향
GitLab은 CI 구성 파일 처리의 부적절한 입력 검증으로 인해, 인증된 사용자가 조작된 CI 구성을 통해 서비스 거부 상태를 유발할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 13.7부터 18.8.7 이전, 18.9부터 18.9.3 이전, 18.10부터 18.10.1 이전의 모든 버전
CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Webhook 구성의 서비스 거부 문제가 GitLab CE/EE에 영향
GitLab은 Webhook 구성의 부적절한 입력 검증으로 인해, 인증된 사용자가 조작된 Webhook 설정을 통해 서비스 거부 상태를 유발할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 16.10부터 18.8.7 이전, 18.9부터 18.9.3 이전, 18.10부터 18.10.1 이전의 모든 버전
CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Mermaid 다이어그램 렌더러의 크로스 사이트 스크립팅(XSS) 문제가 GitLab CE/EE에 영향
GitLab은 Mermaid 다이어그램 렌더러의 부적절한 입력 새니타이징으로 인해, 인증된 사용자가 조작된 Mermaid 다이어그램을 통해 크로스 사이트 스크립팅 공격을 수행할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 17.7부터 18.8.7 이전, 18.9부터 18.9.3 이전, 18.10부터 18.10.1 이전의 모든 버전
CVSS 5.4 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)
머지 리퀘스트의 부적절한 접근 제어 문제가 GitLab CE/EE에 영향
GitLab은 머지 리퀘스트의 부적절한 접근 제어로 인해, 인증된 사용자가 권한이 없는 머지 리퀘스트에 대해 특정 작업을 수행할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 11.10부터 18.8.7 이전, 18.9부터 18.9.3 이전, 18.10부터 18.10.1 이전의 모든 버전
CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N)
GraphQL API의 접근 제어 문제가 GitLab EE에 영향
GitLab은 GraphQL API의 부적절한 접근 제어로 인해, 인증된 사용자가 특정 조건에서 제한된 데이터에 접근할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab EE: 18.6부터 18.8.7 이전, 18.9부터 18.9.3 이전, 18.10부터 18.10.1 이전의 모든 버전
CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)
인가 캐싱의 잘못된 인가 문제가 GitLab EE에 영향
GitLab은 인가 캐싱의 잘못된 인가 처리로 인해, 특정 조건에서 인증된 사용자가 캐시된 권한을 통해 의도하지 않은 접근이 가능했던 문제를 해결했습니다.
영향받는 버전: GitLab EE: 18.1부터 18.8.7 이전, 18.9부터 18.9.3 이전, 18.10부터 18.10.1 이전의 모든 버전
CVSS 3.7 (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N)
버그 수정 및 개선사항
18.10.1
- gocloud 버전 및 체크섬 수정 백포트
- 무중단 재인덱싱 시 async-durability 설정을 선택 사항으로 변경
- CI: CNG 미러 스킵 잡 정규식 업데이트
- 그룹에서 기본 활성화된 코드 리뷰 플로우 자동 리뷰 되돌리기
- http-abort 패닉 처리 및 http 실행 에러 전달
- 상태 머신 초기화 시 컬럼 기본값 검사 비활성화
- What's new - 18.10
- 파이프라인 삭제 시 p_ci_job_artifacts 문 타임아웃 수정
- 단일 레코드 테이블 버그의 영향을 받는 BBM 실행
- 회귀 수정: Deploy key의 Geo 사이트에서 Git 작업 실패
18.9.3
- gocloud 버전 및 체크섬 수정 백포트
- 새 데이터베이스에서 gitlab:setup 실패 수정
- 의존성 oj를 v3.16.15로 업데이트
- 접을 수 있는 커밋 정보에서 commit.titleHtml에 v-safe-html 사용
- 그룹 아카이브 해제 후 프로젝트 및 하위 그룹 재아카이브 수정
- CI 파일 탐색 시 파이프라인 에디터 편집 버튼 미표시 수정
- GLQL 고급 파인더에서 project_ids 제거
- rack gem을 2.2.22로 업데이트
- oj 및 oj-introspect gem 업데이트 백포트
- 검색 인가에서 그룹 포함 프로젝트 제외
- CI: CNG 미러 스킵 잡 정규식 업데이트
- 무중단 재인덱싱 시 async-durability 설정을 선택 사항으로 변경
- 상태 머신 초기화 시 컬럼 기본값 검사 비활성화
- 단일 레코드 테이블 버그의 영향을 받는 BBM 실행
- 파이프라인 삭제 시 p_ci_job_artifacts 문 타임아웃 수정
- 추가 omnibus-gitlab 수정 (Valkey, zypper, Mattermost, check-packages)
18.8.7
- Agentic Chat의 명령 실행 경쟁 조건 수정
- 모든 애드온에 대해 explain 허용
- 의존성 oj를 v3.16.15로 업데이트
- 그룹 아카이브 해제 후 프로젝트 및 하위 그룹 재아카이브 수정
- user_authorizable에 DAP 셀프 호스팅 모델 DAP 검사 추가
- CI 파일 탐색 시 파이프라인 에디터 편집 버튼 수정
- GLQL 고급 파인더에서 project_ids 제거
- oj 및 oj-introspect gem 업데이트 백포트
- rack gem을 2.2.22로 업데이트
- CI: CNG 미러 스킵 잡 정규식 업데이트
- 검색 인가에서 그룹 포함 프로젝트 제외
- 무중단 재인덱싱 시 async-durability 설정을 선택 사항으로 변경
- 단일 레코드 테이블 버그의 영향을 받는 BBM 실행
- 파이프라인 삭제 시 p_ci_job_artifacts 문 타임아웃 수정
- 추가 omnibus-gitlab 수정 (zypper, Mattermost, check-packages)
업그레이드 시 중요 참고사항 및 마이그레이션
데이터베이스 마이그레이션 영향
이 패치에는 업그레이드 프로세스에 영향을 주는 데이터베이스 마이그레이션이 포함되어 있습니다.
인스턴스 유형별 영향
- 단일 노드 인스턴스: GitLab 시작 전에 마이그레이션이 완료되어야 하므로 업그레이드 중 다운타임이 발생합니다.
- 다중 노드 인스턴스: 무중단 업그레이드 절차를 따르면 다운타임 없이 패치를 적용할 수 있습니다.
배포 후 마이그레이션 포함 버전
- 18.10.1
- 18.9.3
- 18.8.7
SLES 12.5 패키지 참고
GitLab 18.10.1에 대해 SLES 12.5 패키지는 제공되지 않습니다.
참고 문서
- 다중 노드 배포: 무중단 업그레이드 가이드
- 단일 노드 설치: 표준 업그레이드 가이드
업데이트
GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.
더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다.
Eva
Project Manager
관련 글
GitLab 보안 패치 릴리즈 18.9.2, 18.8.6, 18.7.6
GitLab 18.9.2, 18.8.6, 18.7.6 버전이 출시되었으며, 14건의 보안 수정 사항과 다수의 버그 수정이 포함되어 있어 모든 셀프 관리형 인스턴스의 즉시 업그레이드를 권장합니다. 주요 보안 취약점으로는 Markdown 플레이스홀더 XSS, GraphQL API DoS, Repository 아카이브 DoS, Protected Branches API DoS 등이 있습니다.
2026년 3월 11일
GitLab 보안 패치 릴리즈 18.9.1, 18.8.5, 18.7.5
GitLab의 18.9.1, 18.8.5, 18.7.5 버전이 출시되었으며, 9건의 보안 수정 및 여러 버그 수정을 포함하고 있습니다. 모든 사용자는 즉시 최신 버전으로 업그레이드할 것을 권장하며, 각 취약점에 대한 상세 정보는 30일 후 공개됩니다. 주요 보안 문제로는 크로스 사이트 스크립팅, 서비스 거부 공격 등이 있으며, 각 버전의 업데이트 및 마이그레이션 정보도 제공됩니다.
2026년 2월 25일
GitLab 패치 릴리즈 18.8.3, 18.7.3, 18.6.5
GitLab의 18.8.3, 18.7.3, 18.6.5 버전이 출시되었습니다. 이번 릴리즈는 GitLab Duo Agent Platform 배포의 안정성, 권한 처리, 기능 플래그 일관성에 초점을 맞춘 버그 수정을 포함합니다. 보안 취약점 수정은 포함되지 않습니다.
2026년 2월 4일