2022-07-04
□ 개요 o GitLab社는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트 발표 [1] o 공격자는 해당 취약점을 악용하여 피해를 발생시킬 수 있으므로, 최신버전으로 업데이트 권고 □ 주요내용 o GitLab에서 프로젝트 검증 미흡으로 인해 발생하는 원격 명령 실행 취약점 (CVE-2022-2185) o GitLab의 외부 문제 추적기에서 발생하는 XSS 취약점 (CVE-2022-2235) 등 2개 o GitLab에서 부적절한 권한 부여 문제로 인해 발생하는 정보 노출 취약점 (CVE-2022-2229) 등 6개 o GitLab에서 잘못된 권한 부여/확인으로 인해 발생하는 인증 우회 취약점 (CVE-2022-1983) 등 4개 o GitLab에서 발생하는 IDOR (안전하지 않은 직접 객체 참조) 취약점 (CVE-2022-2243) o GitLab에서 발생하는 악성 웹 서버 응답을 통한 정규식 서비스 거부 취약점 (CVE-2022-1954) o GitLab에서 발생하는 오픈 리다이렉션 취약점 (CVE-2022-2250) □ 영향을 받는 제품 및 최신 버전
제품명 | 취약점 | 영향받는 버전 | 해결 버전 |
GitLab CE/EE | CVE-2022-2185 | 14.0 ~ 14.10.5 이전 버전 | 14.10.5 |
CVE-2022-2235 | 14.4 ~ 14.10.5 이전 버전 | ||
CVE-2022-2230 | 14.5 ~ 14.10.5 이전 버전 | ||
CVE-2022-2229 | 13.7 ~ 14.10.5 이전 버전 | ||
CVE-2022-1983 | 10.7 ~ 14.10.5 이전 버전 | ||
CVE-2022-1963 | 13.4 ~ 14.10.5 이전 버전 | ||
CVE-2022-2228 | 12.0 ~ 14.10.5 이전 버전 | ||
CVE-2022-1981 | 12.2 ~ 14.10.5 이전 버전 | ||
CVE-2022-2243 CVE-2022-2244 |
14.8 ~ 14.10.5 이전 버전 | ||
CVE-2022-1954 | 1.0.2 ~ 14.10.5 이전 버전 | ||
CVE-2022-2270 | 12.4 ~ 14.10.5 이전 버전 | ||
CVE-2022-2250 | 11.1 ~ 14.10.5 이전 버전 | ||
CVE-2022-1999 | 8.13 ~ 14.10.5 이전 버전 | ||
CVE-2022-2281 | 12.5 ~ 14.10.5 이전 버전 | ||
CVE-2022-2227 | 14.10.5 이전의 모든 버전 |