GitLab, 공격자가 계정을 하이잭 가능했던 치명적인 취약점 수정

GitLab Releases Patch for Critical Vulnerability That Could Let Attackers Hijack Accounts

 

DevOps 플랫폼인 GitLab이 악용될 경우 공격자가 계정을 탈취 수 있는 심각한 보안 취약점을 패치하는 소프트웨어 업데이트를 공개했습니다.

 

CVE-2022-1162로 등록된 이 취약점은 CVSS 점수 9.1을 받았으며, GitLab팀에서 내부적으로 발견한 것으로 알려졌습니다.

 

회사는 3월 31일 권고를 게시해 아래와 같이 밝혔습니다.

 

"GitLab CE/EE의 14.7.0 ~ 14.7.7, 14.8.0 ~ 14.8.5, 14.9.0 ~ 14.9.2 버전에서 OmniAuth 공급자(예: OAuth, LDAP, SAML)를 통해 등록된 계정에 대한 하드코딩된 패스워드가 존재했습니다. 공격자는 이를 통해 계정을 탈취할 수 있었습니다.”

 

GitLab은 Community Edition(CE) 및 Enterprise Edition(EE)의 최신 버전 14.9.2, 14.8.5, 14.7.7에서 버그를 해결했으며 불특정 사용자 다수의 비밀번호를 리셋하는 예방조치를 취했다고 밝혔습니다.

 

 

<이미지 출처: https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-14-9-2-released/>

 

 

또한 "조사 결과 사용자나 계정이 해킹되었다는 증거는 보이지 않는다"고 덧붙였습니다.

 

회사는 또한 자체 관리형 인스턴스의 관리자가 CVE-2022-1162에 취약한 계정을 찾아내는데 사용할 수 있는 스크립트를 공개했습니다. 취약한 계정이 발견될 경우 패스워드를 재설정할 것을 권장했습니다.

 

또한 GitLab은 해당 보안 업데이트를 통해 심각도 높은 XSS 취약점 2개(CVE-2022-1175, CVE-2022-1190) 및 심각도 보통인 취약점 9개, 심각도 낮은 취약점 5개를 패치했습니다.

 

취약한 버전을 사용할 경우 가능한 빨리 최신 버전으로 업그레이드할 것을 권장합니다.

 

 

 

 

출처:

https://thehackernews.com/2022/04/gitlab-releases-patch-for-critical.html

https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-14-9-2-released/