Critical Gitlab Vulnerability
GitLab, a widely used platform for DevOps lifecycle management, has released critical security updates for its Community Edition (CE) and Enterprise Edition (EE).
gbhackers.com
- 개요
- GitLab은 DevOps 수명주기 관리에 널리 사용되는 플랫폼으로, 치명적인 보안 취약점을 포함한 다수의 문제를 해결하기 위해 보안 업데이트를 배포
- 주요 취약점은 권한 상승과 관련 있으며, 악용 시 기밀성과 무결성을 위협할 수 있음
- 모든 셀프 관리형 GitLab 설치는 즉시 최신 버전(17.6.1, 17.5.3, 17.4.5)으로 업데이트 필요
- GitLab.com은 이미 패치를 적용했으며, GitLab Dedicated 고객은 추가 조치가 필요 없음
- 주요 취약점 (CVE-2024-8114)
- Personal Access Token(PAT)을 악용하여 권한을 상승시킬 수 있는 취약점
- GitLab CE/EE 버전 8.12부터 17.4.5, 17.5.3, 17.6.1 이전 버전까지 영향을 받음
- CVSS 점수 8.2로, 심각한 보안 위험을 초래
- HackerOne 버그 바운티 프로그램을 통해 보안 연구자 “pwnie”가 문제를 보고
- 추가 보안 문제
- DoS via Malicious cargo.toml Files (CVE-2024-8237)
- 악의적으로 제작된 cargo.toml 파일로 서버 자원을 소모시켜 서비스 거부(DoS) 상태를 유발
- 연구자 “l33thaxor”가 보고
- Unintended Access to Usage Data via Scoped Tokens (CVE-2024-11669)
- 스코프 토큰의 과도한 적용으로 민감한 데이터에 비인가 접근 가능
- GitLab 내부에서 발견
- DoS via Malicious Harbor Registry Integration (CVE-2024-8177)
- 악성 Harbor Registry 통합을 통해 DoS 공격 가능
- 보안 연구자 “a92847865”가 보고
- Resource Exhaustion via Test_Report API Calls (CVE-2024-11828)
- 조작된 API 호출로 서버 자원을 고갈시켜 DoS 상태를 유발
- 연구자 “luryus”가 보고
- Streaming Endpoint Token Revocation Gap (CVE-2024-11668)
- 토큰이 폐기된 후에도 스트리밍 엔드포인트에 비인가 접근 가능
- GitLab 내부에서 발견
- DoS via Malicious cargo.toml Files (CVE-2024-8237)
- 보안 권고
- 모든 사용자는 즉시 업데이트를 수행하여 취약점을 완화해야 함
- 모든 배포 유형(소스 코드, Omnibus, Helm Chart 등)에 영향을 미침
- 정기적인 패치 관리는 GitLab의 높은 보안 표준을 유지하는 데 필수적
'Kant's IT > Vulnerability' 카테고리의 다른 글
| 인기 높은 워드프레스 플러그인의 취약점 발견 (0) | 2024.12.01 |
|---|---|
| 엔비디아 BCM 소프트웨어에서 인증 누락 취약점(CVE-2024-0138) 발견 (1) | 2024.12.01 |
| Advantech 산업용 Wi-Fi 액세스 포인트에서 발견된 다수의 취약점 (2) | 2024.12.01 |
| Microsoft 취약점 패치: 권한 상승 및 정보 유출 방지 (1) | 2024.11.30 |
| XML-RPC npm 라이브러리, 데이터 탈취 및 암호화폐 채굴에 악용 (1) | 2024.11.30 |