배경:
GitLab은 공식적으로 GitLab Community Edition(CE) 및 Enterprise Edition(EE) 중 하나를 수정하는 보안 권고를 발표했습니다.원격 코드 실행 취약점(CVE-2022-2884) 이 취약점을 통해 인증된 사용자는 GitHub API 엔드포인트에서 코드를 가져와 원격으로 실행할 수 있으며, 이 취약점을 성공적으로 악용한 공격자는 서버 권한을 얻을 수 있습니다.
영향을 받는 버전:
GitLab CE/EE 15.3 버전: < 15.3.1
GitLab CE/EE 15.2 버전: < 15.2.3
GitLab CE/EE 15.1 버전: < 15.1.5
악용하다:
현재 취약점의 세부 내용과 테스트 코드는 공개되지 않았지만 악의적인 공격자가 취약점 유발 지점을 비교 분석할 수 있으므로 영향을 받는 사용자는 적시에 보안 패치를 업데이트하는 것이 좋습니다.
수리 제안:
정식 보안 버전이 출시되었으며 보안 버전으로 업그레이드하는 것을 권장합니다.
https://about.gitlab.com/update/
https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/
원문, 저자: 최고보안책임자, 재인쇄할 경우 출처를 밝혀주세요: https://cncso.com/kr/gitlab-devops-platform-rce-vulnerability.html
