GitLab 제품 보안 업데이트 권고

GitLab 보안 업데이트 권고

GitLab社는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트를 발표했습니다. 영향받는 버전을 사용 중인 시스템 사용자는 해당 업데이트를 통해 취약점을 해결하시기 바랍니다.

영향받는 취약점

■ 사용자 상호작용 없이 비밀번호 재설정을 통한 계정 탈취 취약점(CVE-2023-7028)
■ 공격자가 다른 사용자로 slash 명령 실행 취약점(CVE-2023-5356)
■ CODEOWNERS 승인 우회 취약점(CVE-2023-4812)
■ GitLab Remote Development에서 발생하는 부적절한 접근 제어 취약점(CVE-2023-6955)
■ 공격자가 서명된 커밋의 메타데이터를 잠재적으로 수정 가능한 취약점(CVE-2023-2030)

영향받는 제품 및 해결 버전

| 제품명 | 취약점 | 영향받는 버전 | 해결 버전 |
|---|---|---|---|
| GitLab Community Edition(CE) 및 Enterprise Edition(EE) | CVE-2023-7028 | 16.1 ~ 16.1.5, 16.2 ~ 16.2.8, 16.3 ~ 16.3.6, 16.4 ~ 16.4.4, 16.5 ~ 16.5.5, 16.6 ~ 16.6.3, 16.7 ~ 16.7.1 | 16.1.6, 16.2.9, 16.3.7, 16.4.5, 16.5.6, 16.6.4, 16.7.2 |
| CVE-2023-5356 | 8.13 ~ 16.5.6 이전 버전, 16.6 ~ 16.6.4 이전 버전, 16.7 ~ 16.7.2 이전 버전 | 16.5.6, 16.6.4, 16.7.2 |
| CVE-2023-4812 | 15.3 ~ 16.5.5 이전 버전, 16.6 ~ 16.6.4 이전 버전, 16.7 ~ 16.7.2 이전 버전 | 16.5.5, 16.6.4, 16.7.2 |
| CVE-2023-6955 | 16.5.6 이전 모든 버전, 16.6 ~ 16.6.4 이전 버전, 16.7 ~ 16.7.2 이전 버전 | 16.5.6, 16.6.4, 16.7.2 |
| CVE-2023-2030 | 12.2 ~ 16.5.6 이전 버전, 16.6 ~ 16.6.4 이전 버전, 16.7 ~ 16.7.2 이전 버전 | 16.5.6, 16.6.4, 16.7.2 |

업데이트 방법

해당 업데이트는 GitLab 공식 웹사이트에서 다운로드하실 수 있습니다. 업데이트 방법은 각 제품의 설치 가이드에 설명되어 있습니다.

주의사항

해당 취약점은 공격자가 악용할 경우 심각한 피해를 입힐 수 있으므로, 즉시 업데이트를 수행하시기 바랍니다.

문의처

문의 사항은 GitLab 공식 웹사이트의 문의 페이지를 이용하시기 바랍니다.

출처

■ GitLab 보안 업데이트: [https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/](https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/)
■ [

자세한 내용은 아래 링크(배너)를 클릭해주세요.