보안 권고문

GitLab 제품 보안 업데이트 권고

개요

 

GitLab 제품에서 발생하는 취약점을 해결하는 업데이트를 발표하였습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.

 

대상 제품

 

CVE-2023-6371

  • GitLab CE/EE 16.8.5 이전의 모든 버전
  • GitLab CE/EE 16.9.3 이전의 16.9.x 버전
  • GitLab CE/EE 16.10.1 이전의 16.10.x 버전

 

CVE-2024-2279

  • GitLab CE/EE 버전 : 16.7(포함) ~ 16.8.6(제외)
  • GitLab CE/EE 16.9.4 이전의 16.9.x 버전
  • GitLab CE/EE 16.10.2 이전의 16.10.x 버전

 

CVE-2024-2829

  • GitLab CE/EE 버전 : 12.5(포함) ~ 16.9.6(제외)
  • GitLab CE/EE 16.10.4 이전의 16.10.x 버전
  • GitLab CE/EE 16.11.1 이전의 16.11.x 버전

 

CVE-2024-4835

  • GitLab CE/EE 버전 : 15.11(포함) ~ 16.10.6(제외)
  • GitLab CE/EE 16.11.3 이전의 16.11.x 버전
  • GitLab CE/EE 17.0.1 이전의 17.0.x 버전

 

CVE-2024-2434

  • GitLab CE/EE 16.9.6 이전의 16.9.x 버전
  • GitLab CE/EE 16.10.4 이전의 16.10.x 버전
  • GitLab CE/EE 16.11.1 이전의 16.11.x 버전

 

CVE-2024-3092

  • GitLab CE/EE 16.9.4 이전의 16.9.x 버전
  • GitLab CE/EE 16.10.2 이전의 16.10.x 버전

 

CVE-2024-4024

  • GitLab CE/EE 버전 : 7.8(포함) ~ 16.9.6(제외)
  • GitLab CE/EE 16.10.4 이전의 16.10.x 버전
  • GitLab CE/EE 16.11.1 이전의 16.11.x 버전

 

해결된 취약점

 

GitLab CE/EE에서 발생하는 Banzai 파이프라인을 통한 Wiki 페이지의 Stored XSS 취약점 (CVE-2023-6371)

GitLab CE/EE에서 발생하는 자동 완성 결과를 통한 Stored XSS 취약점 (CVE-2024-2279)

GitLab CE/EE에서 발생하는 프로젝트 파일 검색에서 와일드카드 필터를 사용할 때 FileFinder에서 인증되지 않아 발생하는 ReDoS 취약점 (CVE-2024-2829)

GitLab CE/EE에서 발생하는 VS 코드 편집기(Web IDE)를 활용하여 XSS를 통한 원클릭 계정 탈취 취약점 (CVE-2024-4835)

GitLab CE/EE에서 발생하는 경로 탐색 취약점으로 인한 DoS 발생 및 파일 읽기 제한 취약점(CVE-2024-2434)

GitLab CE/EE에서 발생하는 diff 뷰어에 삽입된 Stored XSS 취약점 (CVE-2024-3092)

GitLab CE/EE에서 발생하는 Bitbucket을 OAuth 공급자로 사용할 때 특정 조건에서의 GitLab 계정 탈취 취약점 (CVE-2024-4024)

 

취약점 패치

 

최신 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.

 

CVE-2023-6371

  • GitLab CE/EE 16.8.5, 16.9.3, 16.10.1 버전

 

CVE-2024-2279, CVE-2024-3092

  • GitLab CE/EE 16.8.6, 16.9.4, 16.10.2 버전

 

CVE-2024-2829, CVE-2024-2434, CVE-2024-4024

  • GitLab CE/EE 16.9.6, 16.10.4, 16.11.1 버전

 

CVE-2024-4835

  • GitLab CE/EE 16.10.6, 16.11.3, 17.0.1 버전

 

참고 사이트

 

[1] CVE-2023-6371 Detail

https://nvd.nist.gov/vuln/detail/CVE-2023-6371

[2] GitLab Security Release: 16.10.1, 16.9.3, 16.8.5

https://about.gitlab.com/releases/2024/03/27/security-release-gitlab-16-10-1-released/

[3] CVE-2024-2279 Detail

https://nvd.nist.gov/vuln/detail/CVE-2024-2279

[4] GitLab Patch Release: 16.10.2, 16.9.4, 16.8.6

https://about.gitlab.com/releases/2024/04/10/patch-release-gitlab-16-10-2-released/

[5] CVE-2024-2829 Detail

https://nvd.nist.gov/vuln/detail/CVE-2024-2829

[6] GitLab Patch Release: 16.11.1, 16.10.4, 16.9.6

https://about.gitlab.com/releases/2024/04/24/patch-release-gitlab-16-11-1-released/

[7] CVE-2024-4835 Detail

https://nvd.nist.gov/vuln/detail/CVE-2024-4835

[8] GitLab Patch Release: 17.0.1, 16.11.3, 16.10.6

https://about.gitlab.com/releases/2024/05/22/patch-release-gitlab-17-0-1-released/

[9] CVE-2024-2434 Detail

https://nvd.nist.gov/vuln/detail/CVE-2024-2434

[10] CVE-2024-3092 Detail

https://nvd.nist.gov/vuln/detail/CVE-2024-3092

[11] CVE-2024-4024 Detail

https://nvd.nist.gov/vuln/detail/CVE-2024-4024

© AhnLab, Inc. All rights reserved.

(우) 13493 경기도 성남시 분당구 판교역로 220

대표이사 : 강석균

사업자등록번호 : 214-81-83536

개인정보처리방침

|

이용약관

|

ASEC