๊ณต๋ ๊ฐ๋ฐ ํ๋ซํผ GitLab 14.8.2, 14.7.4 ๋ฐ 14.6.5์ ๋ํ ์์ ์ ๋ฐ์ดํธ๋ ์น์ธ๋์ง ์์ ์ฌ์ฉ์๊ฐ ์ฒ๋ฆฌ๊ธฐ๋ฅผ ํธ์ถํ๋ ๋ฐ ์ฌ์ฉ๋๋ GitLab Runner์์ ๋ฑ๋ก ํ ํฐ์ ์ถ์ถํ ์ ์๊ฒ ํ๋ ์ฌ๊ฐํ ์ทจ์ฝ์ (CVE-2022-0735)์ ์ ๊ฑฐํฉ๋๋ค. ์ง์์ ์ธ ํตํฉ ์์คํ ์์ ํ๋ก์ ํธ ์ฝ๋๋ฅผ ๊ตฌ์ถํ ๋. ์์ธํ ๋ด์ฉ์ ์์ง ์ ๊ณต๋์ง ์์์ผ๋ฉฐ, ๋น ๋ฅธ ์์ ๋ช ๋ น ์ฌ์ฉ ์ ์ ๋ณด ์ ์ถ๋ก ์ธํด ๋ฌธ์ ๊ฐ ๋ฐ์ํ๋ค๋ ๊ฒ๋ง ์ ์ ์์ต๋๋ค.
์ด ๋ฌธ์ ๋ GitLab ์ง์์ ์ํด ํ์ธ๋์์ผ๋ฉฐ ๋ฒ์ 12.10~14.6.5, 14.7~14.7.4, 14.8~14.8.2์ ์ํฅ์ ๋ฏธ์นฉ๋๋ค. ์ฌ์ฉ์ ์ ์ GitLab ์ค์น๋ฅผ ์ ์ง ๊ด๋ฆฌํ๋ ์ฌ์ฉ์๋ ๊ฐ๋ฅํ ํ ๋นจ๋ฆฌ ์ ๋ฐ์ดํธ๋ฅผ ์ค์นํ๊ฑฐ๋ ํจ์น๋ฅผ ์ ์ฉํ๋ ๊ฒ์ด ์ข์ต๋๋ค. ์ฐ๊ธฐ ๊ถํ์ด ์๋ ์ฌ์ฉ์์๊ฒ๋ง ๋น ๋ฅธ ์์ ๋ช ๋ น์ ๋ํ ์ก์ธ์ค๋ฅผ ์ ํํ์ฌ ๋ฌธ์ ๊ฐ ํด๊ฒฐ๋์์ต๋๋ค. ์ ๋ฐ์ดํธ ๋๋ ๊ฐ๋ณ "ํ ํฐ ์ ๋์ฌ" ํจ์น๋ฅผ ์ค์นํ ํ ์ด์ ์ ๊ทธ๋ฃน ๋ฐ ํ๋ก์ ํธ์ฉ์ผ๋ก ์์ฑ๋ Runner์ ๋ฑ๋ก ํ ํฐ์ด ์ฌ์ค์ ๋๊ณ ์ฌ์์ฑ๋ฉ๋๋ค.
์ ๋ฒ์ ์์๋ ์ฌ๊ฐํ ์ทจ์ฝ์ ์ธ์๋ ๊ถํ์ด ์๋ ์ฌ์ฉ์๊ฐ ๋ค๋ฅธ ์ฌ์ฉ์๋ฅผ ๊ทธ๋ฃน์ ์ถ๊ฐํ๋ ํ์, Snippets ๋ด์ฉ ์กฐ์์ ํตํ ์ฌ์ฉ์์ ๋ํ ์๋ชป๋ ์ ๋ณด ์ ๋ฌ, sendmail ์ ๋ฌ ๋ฐฉ์์ ํตํ ํ๊ฒฝ ๋ณ์ ์ ์ถ, GraphQL API๋ฅผ ํตํ ์ฌ์ฉ์ ์กด์ฌ ํ์ธ, ํ ๋ชจ๋์์ SSH๋ฅผ ํตํด ๋ฆฌํฌ์งํ ๋ฆฌ ๋ฏธ๋ฌ๋ง ์ ๋น๋ฐ๋ฒํธ ์ ์ถ, ๋๊ธ ์ ์ถ ์์คํ
์ ํตํ DoS ๊ณต๊ฒฉ.
์ถ์ฒ : opennet.ru