ClickCease 중요한 파일 덮어쓰기 취약점을 수정한 GitLab 보안 릴리스

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

중요한 파일 덮어쓰기 취약점을 수정한 GitLab 보안 릴리스

by 로한 티말시나

2024년 2월 12일 TuxCare 전문가 팀

깃랩은 최근 커뮤니티 에디션(CE)과 엔터프라이즈 에디션(EE) 모두에 영향을 미치는 중요한 보안 취약점을 수정하는 중요한 패치를 릴리스했습니다. CVE-2024-0402로 확인된 이 결함은 CVSS 점수 10점 만점에 9.9점을 받았으며, 공격자가 작업 공간을 만드는 동안 임의의 파일을 작성할 수 있게 해줍니다.

이 취약점은 16.5.8 이전 16.0, 16.6 이전 16.6, 16.7 이전 16.7.4, 16.8 이전 CE/EE의 모든 버전에 영향을 미친다고 GitLab은 권고문을 통해 공개했습니다. 이 결함으로 인해 인증된 사용자가 워크스페이스를 만드는 동안 GitLab 서버의 임의 위치에 파일을 쓸 수 있습니다. 또한 이 문제에 대한 패치를 16.5.8, 16.6.6, 16.7.4 및 16.8.1 버전으로 백포트했습니다. 그러나 GitLab 16.5.8에는 이 취약점 외에는 다른 수정 사항이 포함되어 있지 않습니다.

 

기타 수정된 GitLab 보안 취약점

 

이번 보안 릴리스에서는 중대한 취약점을 해결하는 것 외에도 GitLab의 중간 심각도 결함 4가지도 해결했습니다. 여기에는 다음이 포함됩니다:

CVE-2023-6159 (CVSS 심각도 점수: 6.5 중간)

GitLab CE/EE 버전 12.7~16.6.6, 16.7~16.7.4, 16.8~16.8.1에서 취약점이 발견되었습니다. 공격자는 악의적으로 조작된 Cargo.toml 파일의 입력을 사용하여 이를 악용하여 정규 표현식 서비스 거부를 일으킬 수 있습니다.

 

CVE-2023-5933 (CVSS 심각도 점수: 6.4 중간)

13.7~16.6.6, 16.7~16.7.4, 16.8~16.8.1의 GitLab CE/EE 버전에서 취약점이 발견되었습니다. 사용자 이름의 부적절한 입력 살균으로 인해 임의의 API PUT 요청이 가능합니다.

CVE-2023-5612 (CVSS 심각도 점수: 5.3 중간)

16.6.6 이전 버전, 16.7 이전 버전, 16.7.4 이전 버전, 16.8 이전 버전 모두에서 취약점이 GitLab에서 발견되었습니다(16.8.1 이전 버전). 사용자 프로필 이메일 공개가 비활성화되어 있음에도 불구하고 태그 피드를 통해 사용자 이메일 주소에 액세스할 수 있었습니다.

CVE-2024-0456 (CVSS 심각도 점수: 4.3 중간)

14.0~16.6.6, 16.7~16.7.4, 16.8~16.8.1 범위의 GitLab 버전에서 권한 부여 취약점이 발견되었습니다. 이로 인해 권한이 없는 공격자가 프로젝트 내에서 생성한 병합 요청(MR)에 임의의 사용자를 할당할 수 있습니다.

 

결론

 

이 최신 GitLab 보안 릴리스는 사용자 상호작용 없이 계정을 탈취하는 데 악용될 수 있는 두 가지 중요한 취약점(CVE-2023-7028, CVSS 점수: 10.0)을 패치한 지 불과 2주 만에 나왔습니다. 잠재적인 위험을 완화하기 위해 사용자는 가능한 한 빨리 GitLab 설치를 패치된 버전으로 업그레이드하는 것이 좋습니다.

 

이 글의 출처는 TheHackerNewsGitLab 릴리즈의 기사입니다.

요약
중요한 파일 덮어쓰기 취약점을 수정한 GitLab 보안 릴리스
기사 이름
중요한 파일 덮어쓰기 취약점을 수정한 GitLab 보안 릴리스
설명
파일 덮어쓰기를 허용하는 치명적인 취약점을 비롯한 여러 가지 결함을 해결하는 최신 GitLab 보안 릴리스에 대해 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기

메일

Linux 환경을 이해하도록
도와주세요!

오픈소스 현황에 대한 설문조사를 완료하면 최고 상금 500달러를 포함한 여러 가지 상품 중 하나를 받을 수 있습니다!

엔터프라이즈 Linux의 미래를 만들기 위해서는 여러분의 전문 지식이 필요합니다!