보안 권고문

GitLab 제품 보안 업데이트 권고

개요

GitLab 제품에서 발생하는 취약점을 해결하는 업데이트를 발표하였습니다. 해당하는 버전의 사용자는 최신 버전으로 업데이트하시기 바랍니다.

 

대상 제품

CVE-2024-4660

  • GitLab EE 버전: 11.2(포함) ~ 17.1.7(제외)
  • GitLab EE 버전: 17.2(포함) ~ 17.2.5(제외)
  • GitLab EE 버전: 17.3(포함) ~ 17.3.2(제외)

     

CVE-2024-2743

  • GitLab EE 버전: 13.3(포함) ~ 17.1.7(제외)
  • GitLab EE 버전: 17.2(포함) ~ 17.2.5(제외)
  • GitLab EE 버전: 17.3(포함) ~ 17.3.2(제외)

     

CVE-2024-8631

  • GitLab EE 버전: 16.6(포함) ~ 17.1.7(제외)
  • GitLab EE 버전: 17.2(포함) ~ 17.2.5(제외)
  • GitLab EE 버전: 17.3(포함) ~ 17.3.2(제외)

     

CVE-2024-8640 

  • GitLab EE 버전: 16.11(포함) ~ 17.1.7(제외)
  • GitLab EE 버전: 17.2(포함) ~ 17.2.5(제외)
  • GitLab EE 버전: 17.3(포함) ~ 17.3.2(제외)

     

CVE-2024-8635

  • GitLab EE 버전: 16.8(포함) ~ 17.1.7(제외)
  • GitLab EE 버전: 17.2(포함) ~ 17.2.5(제외)
  • GitLab EE 버전: 17.3(포함) ~ 17.3.2(제외)

     

CVE-2024-8311

  • GitLab EE 버전: 17.2(포함) ~ 17.2.5(제외)
  • GitLab EE 버전: 17.3(포함) ~ 17.3.2(제외)

     

CVE-2024-4283

  • GitLab EE 버전: 11.1(포함) ~ 17.1.7(제외)
  • GitLab EE 버전: 17.2(포함) ~ 17.2.5(제외)
  • GitLab EE 버전: 17.3(포함) ~ 17.3.2(제외)

     

CVE-2024-8124

  • GitLab CE/EE 버전: 16.4(포함) ~ 17.1.7(제외)
  • GitLab CE/EE 버전: 17.2(포함) ~ 17.2.5(제외)
  • GitLab CE/EE 버전: 17.3(포함) ~ 17.3.2(제외)

     

CVE-2024-8641

  • GitLab CE/EE 버전: 13.7(포함) ~ 17.1.7(제외)
  • GitLab CE/EE 버전: 17.2(포함) ~ 17.2.5(제외)
  • GitLab CE/EE 버전: 17.3(포함) ~ 17.3.2(제외)

     

해결된 취약점

GitLab EE에서 발생하는 게스트가 그룹 템플릿을 사용하여 개인 프로젝트의 소스 코드를 읽을 수 있는 취약점(CVE-2024-4660)

GitLab EE에서 발생하는 공격자가 권한 및 누출 변수 없이 주문형 DAST 검사를 수정할 수 있는 취약점(CVE-2024-2743)

GitLab EE에서 발생하는 Admin Group Member 사용자 역할이 권한을 확장하여 다른 사용자 정의 역할을 포함할 수 있는 권한 상승 취약점(CVE-2024-8631)

GitLab EE에서 발생하는 불완전한 입력 필터링으로 인해 연결된 Cube 서버에 명령을 주입할 수 있는 취약점(CVE-2024-8640)

GitLab EE에서 발생하는 공격자가 사용자 지정 Maven 종속성 프록시 URL을 사용하여 내부 리소스에 요청할 수 있는 취약점(CVE-2024-8635)

GitLab EE에서 발생하는 인증된 사용자가 CI/CD 템플릿을 포함하여 변수 덮어쓰기 보호를 우회할 수 있는 취약점(CVE-2024-8311)

GitLab EE에서 발생하는 특정 조건에서 오픈 리디렉트 취약성으로 인해 OAuth 흐름을 끊어 계정 인수가 가능한 취약점(CVE-2024-4283)

GitLab CE/EE에서 발생하는 특정 POST 요청을 보내면 서비스 거부가 발생할 수 있는 취약점(CVE-2024-8124)

GitLab CE/EE에서 발생하는 피해자의 CI_JOB_TOKEN을 가진 공격자가 피해자에게 속한 GitLab 세션 토큰을 얻을 수 있는 취약점(CVE-2024-8641)

취약점 패치

최신 업데이트를 통해 제품별 취약점 패치가 다음과 같이 제공되었습니다. 영향받는 버전을 이용하는 경우 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.

CVE-2024-4660, CVE-2024-2743, CVE-2024-8631, CVE-2024-8640, CVE-2024-8635, CVE-2024-4283

  • GitLab EE 버전: 17.1.7
  • GitLab EE 버전: 17.2.5
  • GitLab EE 버전: 17.3.2

     

CVE-2024-8311

  • GitLab EE 버전: 17.2.5
  • GitLab EE 버전: 17.3.2

     

CVE-2024-8124, CVE-2024-8641

  • GitLab CE/EE 버전: 17.1.7
  • GitLab CE/EE 버전: 17.2.5
  • GitLab CE/EE 버전: 17.3.2

     

참고 사이트

[1] GitLab Critical Patch Release: 17.3.2, 17.2.5, 17.1.7

https://about.gitlab.com/releases/2024/09/11/patch-release-gitlab-17-3-2-released/

© AhnLab, Inc. All rights reserved.

(우) 13493 경기도 성남시 분당구 판교역로 220

대표이사 : 강석균

사업자등록번호 : 214-81-83536

개인정보처리방침

|

이용약관

|

ASEC