개요
GitLab CE/EE 제품에서 발생하는 취약점을 해결하는 업데이트가 제공되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2024-1451
- GitLab CE/EE 제품 16.9 버전
CVE-2023-6477
- GitLab EE 16.5부터 16.7.6 미만의 버전
- GitLab EE 16.8부터 16.8.3 미만의 버전
- GitLab EE 16.9부터 16.9.1 미만의 버전
CVE-2023-6736
- GitLab EE 11.3부터 16.7.6 미만의 버전
- GitLab EE 16.8부터 16.8.3 미만의 버전
- GitLab EE 16.9부터 16.9.1 미만의 버전
CVE-2024-1525
- GitLab CE/EE 16.1부터 16.7.2 미만의 버전
- GitLab CE/EE 16.8부터 16.8.2 미만의 버전
- GitLab CE/EE 16.9부터 16.9.2 미만의 버전
CVE-2023-4895
- GitLab EE 12.0부터 16.7.6 미만의 버전
- GitLab EE 16.8부터 16.8.3 미만의 버전
- GitLab EE 16.9부터 16.9.1 미만의 버전
CVE-2024-0861
- GitLab EE 16.4부터 16.7.6 미만의 버전
- GitLab EE 16.8부터 16.8.3 미만의 버전
- GitLab EE 16.9부터 16.9.1 미만의 버전
CVE-2023-3509
- GitLab 16.7.6 미만의 모든 버전
- GitLab 16.8부터 16.8.3 미만의 모든 버전
- GitLab 16.9부터 16.9.1 미만의 모든 버전
CVE-2024-0410
- GitLab 15.1부터 16.7.6 미만의 모든 버전
- GitLab 16.8부터 16.8.3 미만의 모든 버전
- GitLab 16.9부터 16.9.1 미만의 모든 버전
해결된 취약점
GitLab CE/EE에서 발생하는 사용자 프로필 페이지의 Stored XSS 취약점 (CVE-2024-1451)
GitLab EE에서 발생하는 admin_group_members 권한이 있는 사용자가 그룹의 소유자로 지정할 수 있는 권한 상승 취약점 (CVE-2023-6477)
GitLab EE에서 발생하는 Codeowners 참조 추출기의 ReDoS 취약점 (CVE-2023-6736)
GitLab CE/EE에서 발생하는 LDAP 사용자가 보조 이메일을 사용하여 비밀번호를 재설정하고 직접 인증을 사용하여 로그인 가능한 취약점 (CVE-2024-1525)
GitLab EE에서 발생하는 프로젝트의 환경 세부 정보에 액세스하기 위해 환경/운영 대시보드를 통해 그룹 IP 제한 설정 우회 취약점 (CVE-2023-4895)
GitLab EE에서 발생하는 게스트 권한을 가진 사용자가 프로젝트에 대한 사용자 정의 대시보드 프로젝트 설정 변경이 가능한 취약점 (CVE-2024-0861)
GitLab에서 발생하는 하위 관리자 역할을 가진 그룹 구성원이 공유 개인 배포 키의 제목을 변경할 수 있는 취약점 (CVE-2023-3509)
GitLab에서 발생하는 코드 소유자의 승인 우회 취약점 (CVE-2024-0410)
취약점 패치
2024년 2월 21일 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트의 내용에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
GitLab 16.9.1, 16.8.3, 16.7.6 버전
참고 사이트
[1] GitLab Security Release: 16.9.1, 16.8.3, 16.7.6
https://about.gitlab.com/releases/2024/02/21/security-release-gitlab-16-9-1-released/