개요
GitLab 에서는 제품의 취약점을 해결하는 보안 업데이트를 발표하였습니다. 해당하는 시스템 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2023-7028
- GitLab CE/EE 16.1: 16.1.6 미만 모든 버전
- GitLab CE/EE 16.2: 16.2.9 미만 모든 버전
- GitLab CE/EE 16.3: 16.3.7 미만 모든 버전
- GitLab CE/EE 16.4: 16.4.5 미만 모든 버전
- GitLab CE/EE 16.5: 16.5.6 미만 모든 버전
- GitLab CE/EE 16.6: 16.6.4 미만 모든 버전
- GitLab CE/EE 16.7: 16.7.2 미만 모든 버전
CVE-2023-4812
- GitLab CE/EE 15.3 이상 16.5.5 미만 모든 버전
- GitLab CE/EE 16.6 이상 16.6.4 미만 모든 버전
- GitLab CE/EE 16.7 이상 16.7.2 미만 모든 버전
CVE-2023-5356
- GitLab CE/EE 8.13 이상 16.5.6 미만 모든 버전
- GitLab CE/EE 16.6 이상 16.6.4 미만 모든 버전
- GitLab CE/EE 16.7 이상 16.7.2 미만 모든 버전
CVE-2023-6955
- GitLab CE/EE 16.5.6 미만 모든 버전
- GitLab CE/EE 16.6 이상 16.6.4 미만 모든 버전
- GitLab CE/EE 16.7 이상 16.7.2 미만 모든 버전
CVE-2023-2030
- GitLab CE/EE 12.2 이상 16.5.6 미만 모든 버전
- GitLab CE/EE 16.6 이상 16.6.4 미만 모든 버전
- GitLab CE/EE 16.7 이상 16.7.2 미만 모든 버전
해결된 취약점
- CVE-2023-7028: 확인되지 않은 이메일로 사용자 계정 비밀번호 재설정 이메일이 전달될 수 있는 계정 탈취 취약점.
- CVE-2023-4812: 필수 CODEOWNERS 승인 우회 취약점.
- CVE-2023-5356: 잘못된 인증 체크로 인해, 연동된 slack 및 mattermost에 다른 사용자로 slash 명령을 전달할 수 있는 취약점.
- CVE-2023-6955: GitLab Remote Development에서 발생하는 취약점으로, 공격자가 다른 그룹의 에이전트와 연결된 root namespace에 워크스페이스를 생성 가능한 부적절한 접근 제어 취약점.
- CVE-2023-2030: 서명된 커밋의 메타데이터를 잠재적으로 수정할 수 있는 취약점.
취약점 패치
01월 11일 다음과 같이 취약점 패치가 제공되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트를 진행하시기 바랍니다.
CVE-2023-7028
- GitLab CE/EE 16.1.6, 16.2.9, 16.3.7, 16.4.5, 16.5.6, 16.6.4, 16.7.2 버전
CVE-2023-4812
- GitLab CE/EE 16.5.5, 16.6.4, 16.7.2 버전
CVE-2023-5356
- GitLab CE/EE 16.5.6, 16.6.4, 16.7.2 버전
CVE-2023-6955
- GitLab CE/EE 16.5.6, 16.6.4, 16.7.2 버전
CVE-2023-2030
- GitLab CE/EE 16.5.6, 16.6.4, 16.7.2 버전
참고 사이트
[1] https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/