GitLab 보안 패치 릴리즈 18.11.1, 18.10.4, 18.9.6

오늘 GitLab Community Edition(CE)과 Enterprise Edition(EE)에 대해 18.11.1, 18.10.4, 18.9.6 버전이 출시되었습니다. 이 버전들은 중요한 버그 및 보안 수정 사항을 포함하고 있으므로, 모든 셀프 관리형 GitLab 인스턴스는 즉시 이 중 하나의 버전으로 업그레이드하시길 강력히 권장합니다. GitLab.com은 이미 보안 패치가 적용된 버전을 사용 중이며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다. GitLab은 패치 릴리즈를 통해 취약점에 대한 수정사항을 제공합니다. 패치 릴리즈는 정기 릴리즈와 심각도가 높은 취약점에 대한 긴급 릴리즈, 이렇게 두 가지 유형이 있습니다. 정기 릴리즈는 매월 둘째, 넷째 수요일에 배포됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ에서 확인하실 수 있습니다. 모든 GitLab 릴리즈 블로그 게시글은 여기에서 볼 수 있습니다.

보안 수정 사항의 경우, 각 취약점에 대한 상세 이슈는 패치가 적용된 릴리즈 이후 30일이 지나면 이슈 트래커를 통해 공개됩니다. GitLab은 고객에게 노출되거나 고객 데이터를 저장하는 모든 측면이 최고 수준의 보안 기준을 충족하도록 최선을 다하고 있습니다. 보안 수준을 유지하기 위해, 모든 고객이 지원되는 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안 모범 사례에 대해서는 저희 블로그의 관련 게시글을 참고해 주세요.

권장 조치

---

아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치를 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다.

제품의 특정 배포 유형(omnibus, 소스 코드, helm 차트 등)이 언급되지 않은 경우, 모든 유형이 영향을 받는다는 것을 의미합니다.

GraphQL API의 CSRF 취약점이 GitLab CE/EE에 영향

GitLab은 인증되지 않은 사용자가 불충분한 CSRF 보호로 인해 인증된 사용자를 대신하여 GraphQL 뮤테이션을 실행할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 17.0부터 18.9.6 이전, 18.10부터 18.10.4 이전, 18.11부터 18.11.1 이전의 모든 버전

CVSS 8.1 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N)

Web IDE의 경로 동등성 취약점이 GitLab CE/EE에 영향

GitLab은 인증되지 않은 사용자가 부적절한 경로 유효성 검사로 인해 사용자의 브라우저 세션에서 임의의 JavaScript를 실행할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 18.10부터 18.10.4 이전, 18.11부터 18.11.1 이전의 모든 버전

CVSS 8.0 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N)

Storybook의 크로스 사이트 스크립팅 문제가 GitLab CE/EE에 영향

GitLab은 부적절한 입력 유효성 검사로 인해 인증되지 않은 사용자가 Storybook 개발 환경에서 토큰에 접근할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 16.1부터 18.9.6 이전, 18.10부터 18.10.4 이전, 18.11부터 18.11.1 이전의 모든 버전

CVSS 8.0 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N)

Discussions 엔드포인트의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 인증된 사용자가 Discussions 엔드포인트에 조작된 요청을 보내 서버 리소스를 고갈시킬 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 10.6부터 18.9.6 이전, 18.10부터 18.10.4 이전, 18.11부터 18.11.1 이전의 모든 버전

CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

Jira Import의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 부적절한 입력 유효성 검사로 인해 인증된 사용자가 이슈 가져오기 시 서비스 거부를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 12.3부터 18.9.6 이전, 18.10부터 18.10.4 이전, 18.11부터 18.11.1 이전의 모든 버전

CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

Notes 엔드포인트의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 노트 조회 시 불충분한 리소스 할당 제한으로 인해 인증된 사용자가 서비스 거부를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 9.2부터 18.9.6 이전, 18.10부터 18.10.4 이전, 18.11부터 18.11.1 이전의 모든 버전

CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

GraphQL API의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 GraphQL API에서 불충분한 리소스 할당 제한으로 인해 인증된 사용자가 시스템 리소스를 과부하시킬 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 12.4부터 18.9.6 이전, 18.10부터 18.10.4 이전, 18.11부터 18.11.1 이전의 모든 버전

CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

Virtual Registry의 불충분한 세션 만료 문제가 GitLab CE/EE에 영향

GitLab은 사용자가 무효화되었거나 잘못된 범위의 자격 증명을 사용하여 Virtual Registries에 접근할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 18.2부터 18.9.6 이전, 18.10부터 18.10.4 이전, 18.11부터 18.11.1 이전의 모든 버전

CVSS 5.4 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N)

Issue 설명 렌더러의 접근 제어 문제가 GitLab CE/EE에 영향

GitLab은 인증된 사용자가 공개 프로젝트에서 기밀 또는 비공개 이슈의 제목에 접근할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 18.11부터 18.11.1 이전의 모든 버전

CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)

Mermaid 샌드박스 프레임 제한 문제가 GitLab CE/EE에 영향

GitLab은 인증된 사용자가 Mermaid 샌드박스를 통해 다른 사용자의 브라우저에 인가되지 않은 콘텐츠를 로드할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 18.11부터 18.11.1 이전의 모든 버전

CVSS 3.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N)

프로젝트 포크 API의 접근 제어 문제가 GitLab CE/EE에 영향

GitLab은 부적절한 인가 확인으로 인해 프로젝트 소유자가 그룹 포크 방지 설정을 우회할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 11.2부터 18.9.6 이전, 18.10부터 18.10.4 이전, 18.11부터 18.11.1 이전의 모든 버전

CVSS 2.7 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N)

버그 수정 및 개선사항

---

18.11.1

• Zoekt schema_version 범프 재인덱싱 작업 유형 수정
• PostgreSQL 버전 문서 업데이트
• 마이그레이션 시 제약조건 재생성 수정
• What's new 문서 백포트
• Renovation CI 템플릿 되돌리기
• 마이그레이션 스펙에서 제약조건 건너뛰기 처리
• 에이전틱 채팅 세션 ID 드롭다운 수정
• JSON 테이블 비문자열 값 처리 수정
• PackageCloud CI 제거 및 pulp 잡 이름 변경
• 배포자에서 패키지 OS 체크 제거

18.10.4

• Rails 스펙 규칙을 MR 파이프라인으로 범위 조정 (Gitaly)
• 미할당 프로젝트 Runner의 토큰 재설정 수정
• 불안정한 new_project_spec 테스트 수정
• Rack 의존성 업데이트 (2.2.23)
• BBM 테이블 참조 건너뛰기 처리
• 파이프라인 스펙 경합 조건 수정
• Zoekt 인덱서 v1.11.1 백포트
• UI 변수 비상속 테스트 안정성 개선
• CI 완료 빌드 백필 ClickHouse 확인
• Geo 동시성 제한 워커 (보조 사이트)
• Geo blob 다운로드 HTTP 프로토콜 전환
• 릴리즈 환경 배포 패키지 요구사항
• Zoekt 재인덱싱 작업 유형 최적화
• Sidekiq 동시성 제한 기능 플래그
• 배포 후 제약조건 재생성 수정
• Agent Platform 플로우 구성 문서
• 연결 풀 비활성 연결 수정
• 아웃바운드 필터링을 포함한 Geo 사이트 유효성 검사
• CE에 PostgreSQL 패키지 포함
• PostgreSQL 버전 업그레이드 (16.13, 17.8)
• Gitaly 재시작 타임아웃 구성
• SLES-12.5에서 Mattermost 제거
• PackageCloud CI 제거 및 이름 변경
• 패키지 OS 체크 제거

18.9.6

• GitLab Zoekt v1.8.2 버전 범프
• Rails 스펙 규칙 범위 조정 (Gitaly)
• zlib 라이브러리 업데이트 (3.2.3)
• Geo 동시성 제한 워커 배포
• 릴리즈 환경 패키지 요구사항
• Zoekt 재인덱싱 작업 유형 최적화
• 마이그레이션 스펙 제약조건 건너뛰기 수정
• Agent Platform 플로우 구성 문서
• Sidekiq 동시성 제한 기능 플래그
• Zoekt 인덱서 v1.8.2 백포트
• 필터링을 포함한 Geo 사이트 유효성 검사
• PostgreSQL 패키지 포함 수정
• Rack 의존성 업데이트 (2.2.23)
• PostgreSQL 버전 업그레이드 (16.13, 17.8)
• Gitaly 재시작 타임아웃 설정
• SLES-12.5에서 Mattermost 제거
• PackageCloud CI 제거 및 잡 이름 변경
• GitLab Rails 패키지 폴더 정리
• 패키지 OS 체크 제거

업그레이드 시 중요 참고사항 및 마이그레이션

---

데이터베이스 마이그레이션 영향

이 패치에는 업그레이드 프로세스에 영향을 주는 데이터베이스 마이그레이션이 포함되어 있습니다.

인스턴스 유형별 영향

• 단일 노드 인스턴스: GitLab 시작 전에 마이그레이션이 완료되어야 하므로 업그레이드 중 다운타임이 발생합니다.
• 다중 노드 인스턴스: 무중단 업그레이드 절차를 따르면 다운타임 없이 패치를 적용할 수 있습니다.

배포 후 마이그레이션 포함 버전

• 18.11.1
• 18.10.4

참고 문서

• 다중 노드 배포: 무중단 업그레이드 가이드
• 단일 노드 설치: 표준 업그레이드 가이드

업데이트

---

GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.

원문 바로가기

더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다.