GitLab Critical Security Release
(about.gitlab.com)- 모든 GitLab CE/EE 설치본에 대해 즉시 업데이트 하는 것을 추천
- Quick Actions를 통해서 Runner 등록 토큰이 노출되는 취약점에 대한 패치
- 모든 그룹/프로젝트에 대한 Runner 등록 토큰이 리셋됨
- 자동화된 프로세스로 Runner를 등록하고 있다면 이 업데이트로 인해 해당 프로세스가 중단됨
- 하지만, 이전에 등록된 Runner에는 영향을 미치지는 않음
- 권한 없는 사용자가 API로 그룹에 사용자를 추가하는게 가능한 취약점 패치
- 특수하게 만든 이메일 주소를 통해서 Sendmail 시에 환경 변수가 노출되는 취약점 패치