개요
GitLab CE/EE 제품에서 발생하는 취약점을 해결하는 업데이트가 제공되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2024-0199
- GitLab CE/EE 11.3 이상부터 16.7.7 미만의 버전
- GitLab CE/EE 16.7.6 이상부터 16.8.4 미만의 버전
- GitLab CE/EE 16.8.3 이상부터 16.9.2 미만의 버전
CVE-2024-1299
- GitLab CE/EE 16.8 이상부터 16.8.4 미만의 버전
- GitLab CE/EE 16.9 이상부터 16.9.2 미만의 버전
해결된 취약점
이전 기능 브랜치에서 제작된 페이로드를 활용하여 CODEOWNERS를 우회할 수 있는 권한 우회 취약점 (CVE-2024-0199)
사용자 지정 역할이 있는 경우, 소유자 권한으로 manage_group_access_tokens을 순환할 수 있는 취약점 (CVE-2024-1299)
취약점 패치
2024년 3월 6일 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
GitLab CE/EE 16.9.2, 16.8.4, 16.7.7 버전
참고 사이트
[1] CVE-2024-0199 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-0199
[2] CVE-2024-1299 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-1299
[3] GitLab Security Release: 16.9.2, 16.8.4, 16.7.7
https://about.gitlab.com/releases/2024/03/06/security-release-gitlab-16-9-2-released/