□ 개요 
  o GitLab社는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트 발표 [1] 
o 영향받는 버전을 사용 중인 시스템 사용자는 해결 방안에 따라 최신 버전으로 업데이트 권고

  □ 설명 
 o GitLab 제품에서 사용자 상호작용 없이 비밀번호 재설정을 통한 계정 탈취 취약점(CVE-2023-7028) [1] 
o GitLab 제품에서 공격자가 다른 사용자로 slash 명령 실행 취약점(CVE-2023-5356) [1]
 
o GitLab 제품에서 CODEOWNERS 승인 우회 취약점(CVE-2023-4812) [1]
 
o GitLab 제품의 GitLab Remote Development에서 발생하는 부적절한 접근 제어 취약점(CVE-2023-6955) [1]
 
o GitLab 제품에서 공격자가 서명된 커밋의 메타데이터를 잠재적으로 수정 가능한 취약점(CVE-2023-2030) [1]
 

 
 □영향받는 제품 및 해결 방안
      
       
        
         
제품명
         
취약점
         
영향받는 버전
         
해결 버전
        
        
         
GitLab
 
Community Edition(CE) 및
 
Enterprise Edition(EE)
         
CVE-2023-7028
         
16.1 ~ 16.1.5
 
16.2 ~ 16.2.8
 
16.3 ~ 16.3.6
 
16.4 ~ 16.4.4
 
16.5 ~ 16.5.5
 
16.6 ~ 16.6.3
 
16.7 ~ 16.7.1
         
16.1.6
 
16.2.9
 
16.3.7
 
16.4.5
 
16.5.6
 
16.6.4
 
16.7.2
        
        
         
CVE-2023-5356
         
8.13 ~ 16.5.6 이전 버전
 
16.6 ~ 16.6.4 이전 버전
 
16.7 ~ 16.7.2 이전 버전
         
16.5.6
 
16.6.4
 
16.7.2
        
        
         
CVE-2023-4812
         
15.3 ~ 16.5.5 이전 버전
 
16.6 ~ 16.6.4 이전 버전
 
16.7 ~ 16.7.2 이전 버전
         
16.5.5
 
16.6.4
 
16.7.2
        
        
         
CVE-2023-6955
         
16.5.6 이전 모든 버전
 
16.6 ~ 16.6.4 이전 버전
 
16.7 ~ 16.7.2 이전 버전
         
16.5.6
 
16.6.4
 
16.7.2
        
        
         
CVE-2023-2030
         
12.2 ~ 16.5.6 이전 버전
 
16.6 ~ 16.6.4 이전 버전
 
16.7 ~ 16.7.2 이전 버전
         
16.5.6
 
16.6.4
 
16.7.2
        
       
      
 
※ 하단의 참고사이트를 확인하여 업데이트 수행 [1] [2]
 

  □ 기타 문의사항 
 o 한국인터넷진흥원 사이버민원센터: 국번없이 118
 
  [참고사이트] 
 [1] https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/
 
[2] https://about.gitlab.com/update/
 

  □ 작성 :침해사고분석단 ?약점분석팀