본문 바로가기
버전관리/GitLab

[GitLab] 취약점 조치 Remote Command Execution via Github import

by 주리니e 2022. 8. 31.
728x90

[Gitlab] 취약점 조치 Remote Command Execution via Github import 

 

GitLab Critical Security Release: 15.3.1, 15.2.3, 15.1.5 | GitLab

 

GitLab Critical Security Release: 15.3.1, 15.2.3, 15.1.5

Learn more about GitLab Critical Security Release: 15.3.1, 15.2.3, 15.1.5 for GitLab Community Edition (CE) and Enterprise Edition (EE).

about.gitlab.com

GitLab 보안 업그레이드 권고안을 확인하였다. GitLab의 GitHub API 엔드포인트에서 가져오기 기능을 이용해 발생하는 원격 코드 실행 취약점이 발견되었다. 자세한 취약점 목록은 위 URL로 확인이 가능하다. 위 페이지에서는 업그레이드를 할 수 없는 상황이라면 GitHub import 기능을 사용중지하도록 권고하고 있다. 이번 포스팅에서는 해당 기능을 사용중지하고 검증하는 것 까지 포스팅 해보겠다.

 

  • 깃허브 가져오기 기능 사용중지 (Disable GitHub import)

root 계정 로그인
Menu - Admin
Settings - General - Visibility and access controls
Disable GitHub - Save changes

 

  • 기능 검증 (Verifying the workaround)

일반 유저 계정 로그인
Menu - Projects - Create new project
Import Project
Removed Github Import 버튼

 

GitHub Import 기능 활성화 시 화면

이로써 GitLab 업데이트를 하지 않고 Remote Command Execution via Github import 취약점을 조치하였다. 다음 포스팅에서는 GitLab-CE 버전을 최신버전으로 업데이트 하고자 한다. 앞으로 계속 업데이트가 될 것이고 만약 GitHub에서 Import기능이 필요하다면 사용자를 위해서라도 GitLab버전을 최신버전으로 업데이트하여 유지하는 것이 가장 좋을 것이다.

 

728x90
저작자표시 비영리 변경금지

'버전관리 > GitLab' 카테고리의 다른 글

[GitLab] 보안 업데이트 Remote Command Execution via Github import 등 14개  (1) 2022.09.13
[GitLab] 보안 업데이트 Remote Command Execution via Github import  (0) 2022.08.31
GitLab 버전 업데이트(4) - 14.0.12 to 15.1.2  (0) 2022.07.12
GitLab 버전 업데이트(3) - 13.12.15 to 14.0.12  (0) 2022.07.11
GitLab 버전 업데이트(2) - 백업  (0) 2022.07.11

관련글

댓글

티스토리툴바