개요
GitLab(https://about.gitlab.com/) Community Edition(CE) 및 Enterprise Edition(EE)에서 발생하는 취약점을 해결하는 업데이트가 제공되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2024-0402
- 16.0부터 16.5.8 이전 버전
- 16.6부터 16.6.6 이전 버전
- 16.7부터 16.7.4 이전 버전
- 16.8부터 16.8.1 이전 버전
CVE-2023-6159
- 12.7부터 16.6.6 이전 버전
- 16.7부터 16.7.4 이전 버전
- 16.8부터 16.8.1 이전 버전
CVE-2023-5933
- 13.7부터 16.6.6 이전 버전
- 16.7부터 16.7.4 이전 버전
- 16.8부터 16.8.1 이전 버전
CVE-2023-5612
- 16.6.6 이전의 모든 버전
- 16.7부터 16.7.4 이전 버전
- 16.8부터 16.8.1 이전 버전
CVE-2024-0456
- 14.0부터 16.6.6 이전 버전
- 16.7부터 16.7.4 이전 버전
- 16.8부터 16.8.1 이전 버전
해결된 취약점
CVE-2024-0402
- 작업공간 생성 중 임의 파일 쓰기 취약점
CVE-2023-6159
- Cargo.toml blob viewer 에서의 ReDoS 취약점
CVE-2023-5933
- 사용자 이름에 HTML 삽입을 통한 임의 API PUT 요청 취약점
CVE-2023-5612
- RSS 피드의 태그에서 발생하는 공개 이메일 정보 노출 취약점
CVE-2024-0456
- 멤버가 아닌 사용자의 MR 담당자 정보 업데이트 권한 접근 취약점
취약점 패치
2024년 1월 25일 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-0402
- 16.5.8 버전
- 16.6.6 버전
- 16.7.4 버전
- 16.8.1 버전
CVE-2023-6159, CVE-2023-5933, CVE-2023-5612, CVE-2024-0456
- 16.6.6 버전
- 16.7.4 버전
- 16.8.1 버전
참고 사이트
[1] CVE-2024-0402 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-0402
[2] CVE-2023-6159 Detail
https://nvd.nist.gov/vuln/detail/CVE-2023-6159
[3] CVE-2023-5933 Detail
https://nvd.nist.gov/vuln/detail/CVE-2023-5933
[4] CVE-2023-5612 Detail
https://nvd.nist.gov/vuln/detail/CVE-2023-5612
[5] CVE-2024-0456 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-0456
[6] GitLab Critical Security Release: 16.8.1, 16.7.4, 16.6.6, 16.5.8
https://about.gitlab.com/releases/2024/01/25/critical-security-release-gitlab-16-8-1-released/