๊ณต๋ ๊ฐ๋ฐ ํ๋ซํผ GitLab 14.7.7, 14.8.5 ๋ฐ 14.9.2์ ๋ํ ์์ ์ ๋ฐ์ดํธ๋ OmniAuth(OAuth) ๊ณต๊ธ์, LDAP ๋ฐ SAML์ ์ฌ์ฉํ์ฌ ๋ฑ๋ก๋ ๊ณ์ ์ ๋ํด ํ๋์ฝ๋ฉ๋ ๋น๋ฐ๋ฒํธ ์ค์ ๊ณผ ๊ด๋ จ๋ ์ฌ๊ฐํ ์ทจ์ฝ์ (CVE-2022-1162)์ ์ ๊ฑฐํฉ๋๋ค. . ์ด ์ทจ์ฝ์ ์ผ๋ก ์ธํด ๊ณต๊ฒฉ์๊ฐ ๊ณ์ ์ ์ก์ธ์คํ ์ ์๊ฒ ๋ ๊ฐ๋ฅ์ฑ์ด ์์ต๋๋ค. ๋ชจ๋ ์ฌ์ฉ์๋ ์ฆ์ ์ ๋ฐ์ดํธ๋ฅผ ์ค์นํ๋ ๊ฒ์ด ์ข์ต๋๋ค. ๋ฌธ์ ์ ์ธ๋ถ ์ฌํญ์ ์์ง ๊ณต๊ฐ๋์ง ์์์ต๋๋ค. ์ด ๋ฌธ์ ๋ก ์ธํด ์ํฅ์ ๋ฐ์ ๊ณ์ ์ ์ฌ์ฉ์์๊ฒ๋ ๋น๋ฐ๋ฒํธ๋ฅผ ์ฌ์ค์ ํ๋ผ๋ ๋ฉ์์ง๊ฐ ํ์๋์์ต๋๋ค. ์ด ๋ฌธ์ ๋ GitLab ์ง์์ ์ํด ํ์ธ๋์์ผ๋ฉฐ ์กฐ์ฌ ๊ฒฐ๊ณผ ์ฌ์ฉ์ ์์์ ํ์ ์ ๋ฐ๊ฒฌ๋์ง ์์์ต๋๋ค.
์ ๋ฒ์ ์์๋ 16๊ฐ ์ด์์ ์ทจ์ฝ์ ๋ ์ ๊ฑฐ๋์์ผ๋ฉฐ, ๊ทธ ์ค 2๊ฐ๋ ์ํ, 9๊ฐ๋ ๋ณดํต, 5๊ฐ๋ ์ํํ์ง ์์์ผ๋ก ํ์๋์์ต๋๋ค. ์ํํ ๋ฌธ์ ์๋ ๋๊ธ์ HTML ์ฝ์
(XSS) ๊ฐ๋ฅ์ฑ(CVE-2022-1175)๊ณผ ๋ฌธ์ ์ ๋๊ธ/์ค๋ช
(CVE-2022-1190)์ด ํฌํจ๋ฉ๋๋ค.
์ถ์ฒ : opennet.ru