GitLab은 오늘 GitLab Community와 Enterprise 버전의 제품에 중요한 취약점이 있음을 경고했습니다. 이 취약점은 공격자가 다른 사용자로 파이프라인 작업을 실행할 수 있게 합니다. GitLab DevSecOps 플랫폼은 3000만 명 이상의 등록된 사용자를 보유하고 있으며, T-Mobile, Goldman Sachs, Airbus, Lockheed Martin, Nvidia, UBS 등 포춘 100 기업의 50% 이상이 이를 사용하고 있습니다.
이번 보안 업데이트에서 수정된 취약점은 CVE-2024-6385로 추적되며, CVSS 기본 점수 심각도 등급에서 10점 만점에 9.6점을 받았습니다. 이 취약점은 GitLab CE/EE의 모든 버전, 즉 15.8에서 16.11.6, 17.0에서 17.0.4, 그리고 17.1에서 17.1.2 버전을 영향을 미칩니다. GitLab은 아직 공개하지 않은 특정 상황에서 공격자가 이를 악용하여 임의의 사용자로 새 파이프라인을 트리거할 수 있습니다.
GitLab은 이 중요한 보안 결함을 해결하기 위해 GitLab Community와 Enterprise 버전 17.1.2, 17.0.4, 16.11.6을 출시하고 모든 관리자에게 즉시 모든 설치를 업그레이드하도록 권고했습니다. "우리는 아래에 설명된 문제에 영향을 받는 버전을 실행하는 모든 설치가 가능한 한 빨리 최신 버전으로 업그레이드되는 것을 강력히 권장한다"고 경고했으며 "GitLab.com과 GitLab Dedicated는 이미 패치된 버전을 실행하고 있다."고 언급했습니다.
요약
- GitLab은 제품의 중요한 취약점이 있음을 경고, 이로 인해 공격자가 다른 사용자로 파이프라인 작업을 실행할 수 있다.
- 이 취약점은 GitLab CE/EE의 모든 버전에 영향을 미치며, 공격자는 특정 상황에서 이를 악용하여 임의의 사용자로 새 파이프라인을 트리거할 수 있다.
- GitLab은 이 중요한 보안 결함을 해결하기 위해 새로운 버전을 출시하고 모든 관리자에게 즉시 모든 설치를 업그레이드하도록 권고했다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.