cve

GitLab 패치 릴리스: 18.11.1, 18.10.4, 18.9.6 | GitLab 문서 (새 탭에서 열림)

GitLab은 2026년 4월 22일, 다수의 보안 취약점과 버그를 해결하기 위해 GitLab Community Edition(CE) 및 Enterprise Edition(EE)의 패치 버전인 18.11.1, 18.10.4, 18.9.6을 출시했습니다. 이번 업데이트는 GraphQL API의 CSRF 문제와 Web IDE 내 임의 자바스크립트 실행 등 심각도가 높은 보안 결함을 포함하여 총 10건 이상의 취약점을 해결하는 것을 핵심으로 합니다. 시스템의 안전한 운영을 위해 자체 호스팅(Self-managed) 환경을 사용하는 모든 관리자는 최신 패치 버전으로 즉시 업그레이드할 것을 강력히 권고합니다. ### 고위험 보안 취약점 해결 * **CVE-2026-4922 (GraphQL API CSRF):** GraphQL API의 CSRF 보호가 불충분하여 인증되지 않은 사용자가 인증된 사용자를 대신해 뮤테이션(Mutation)을 실행할 수 있는 문제를 해결했습니다. (CVSS 점수 8.1) * **CVE-2026-5816 (Web IDE 경로 검증 오류):** 특정 조건에서 웹 IDE 자산의 경로 검증이 부적절하게 이루어져, 인증되지 않은 사용자가 사용자의 브라우저 세션에서 임의의 자바스크립트를 실행할 수 있는 취약점을 수정했습니다. (CVSS 점수 8.0) * **CVE-2026-5262 (Storybook XSS):** Storybook 개발 환경에서 입력값 검증 미흡으로 인해 인증되지 않은 사용자가 토큰에 접근할 수 있는 교차 사이트 스크립팅(XSS) 이슈를 해결했습니다. (CVSS 점수 8.0) ### 서비스 거부(DoS) 취약점 보완 * **리소스 고갈 방지:** 토론(Discussions) 엔드포인트(CVE-2025-0186), 노트(Notes) 엔드포인트(CVE-2025-6016), GraphQL API(CVE-2025-3922)에서 리소스 할당 제한이 미흡하여 서버 자원을 고갈시킬 수 있는 DoS 문제를 수정했습니다. * **Jira 가져오기 오류(CVE-2026-1660):** 이슈를 가져오는 과정에서 부적절한 입력값 검증으로 인해 인증된 사용자가 DoS를 유발할 수 있는 취약점을 해결했습니다. ### 접근 제어 및 세션 관리 개선 * **가상 레지스트리 세션(CVE-2026-6515):** 만료되거나 잘못된 범위의 인증 정보를 사용하여 가상 레지스트리에 접근할 수 있었던 세션 만료 관련 이슈를 수정했습니다. * **비공개 정보 노출 차단(CVE-2026-5377):** 이슈 설명 렌더링 과정의 접근 제어 오류로 인해, 공개 프로젝트 내에서 비공개 이슈의 제목이 노출될 수 있는 문제를 해결했습니다. * **UI 레이어 및 API 보안:** Mermaid 샌드박스 내 입력값 검증 오류(CVE-2026-3254)와 프로젝트 포크(Fork) 관계 API의 부적절한 접근 제어 문제를 수정했습니다. 현재 GitLab.com은 이미 패치된 버전이 적용되어 있으며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다. 그러나 Omnibus, Helm Chart, 소스 코드 설치 등 모든 유형의 자체 호스팅 설치 환경은 이번 취약점의 영향을 받으므로, 관리자는 보안 하이진 유지를 위해 지원되는 최신 패치 버전으로 즉시 업그레이드해야 합니다. 상세한 취약점 정보는 패치 릴리스 30일 후에 GitLab 이슈 트래커를 통해 공개될 예정입니다.

GitLab 패치 릴리스: 18.10.3, 18.9.5, 18.8.9 | GitLab 문서 (새 탭에서 열림)

GitLab은 커뮤니티 에디션(CE) 및 엔터프라이즈 에디션(EE)의 보안 취약점과 버그를 해결하기 위해 최신 패치 버전인 18.10.3, 18.9.5, 18.8.9를 출시했습니다. 이번 업데이트에는 인증된 사용자가 서버 측 메서드를 임의로 호출할 수 있는 고위험군 취약점을 포함하여 서비스 거부(DoS), 정보 유출, 권한 오류 등 다수의 보안 수정 사항이 포함되어 있습니다. 시스템의 안전한 운영을 위해 자체 관리형(Self-managed) GitLab 인스턴스를 운영하는 모든 관리자는 즉시 최신 버전으로 업그레이드할 것을 권고합니다. ### 주요 보안 취약점 수정 및 고위험 이슈 * **웹소켓 연결을 통한 메서드 호출(CVE-2026-5173):** 부적절한 접근 제어로 인해 인증된 사용자가 의도하지 않은 서버 측 메서드를 호출할 수 있는 문제가 수정되었습니다. CVSS 점수 8.5의 고위험 취약점으로, GitLab 16.9.6 이후 모든 버전이 영향을 받습니다. * **Terraform 상태 잠금 API의 DoS(CVE-2026-1092):** JSON 페이로드의 입력값 검증 미흡으로 인해 인증되지 않은 사용자가 서비스 거부 공격을 유발할 수 있는 결함이 해결되었습니다. * **GraphQL 및 CSV 임포트 DoS:** 인증되지 않은 사용자가 반복적인 GraphQL 쿼리를 보내거나(CVE-2025-12664), 인증된 사용자가 구조가 잘못된 CSV 파일을 임포트하여 Sidekiq 워커를 중단시킬 수 있는(CVE-2026-1403) 취약점들이 수정되었습니다. ### 데이터 보호 및 권한 제어 개선 * **정보 유출 방지:** 특정 GraphQL 쿼리를 통해 타인의 이메일 주소가 노출되는 문제(CVE-2025-9484)와 CSV 내보내기 시 타인에게 할당된 기밀 이슈에 접근할 수 있는 권한 확인 미흡 문제를 해결했습니다. * **분석 대시보드 XSS(CVE-2026-4332):** 사용자 정의 가능한 분석 대시보드에서 입력값 정화(Sanitization)가 제대로 이루어지지 않아 타인의 브라우저에서 임의의 JavaScript를 실행할 수 있는 교차 사이트 스크립팅 취약점이 보완되었습니다. * **코드 품질 리포트 코드 주입(CVE-2026-1516):** 특수하게 제작된 리포트 콘텐츠를 통해 이를 열람하는 사용자의 IP 주소를 유출할 수 있는 보안 허점이 수정되었습니다. ### API 및 환경 설정 보안 강화 * **Environments API 권한 오류(CVE-2026-1752):** 개발자 권한을 가진 사용자가 API를 통해 보호된 환경 설정을 부적절하게 수정할 수 있는 권한 검증 로직을 강화했습니다. * **AI 탐지 API 및 SBOM API 안정성:** 취약점 플래그 AI 탐지 API의 권한 오류와 GraphQL SBOM API의 입력값 검증 미흡으로 인한 시스템 불안정 요소를 모두 제거했습니다. GitLab 설치 유형(Omnibus, Source code, Helm chart 등)에 관계없이 해당 버전을 사용하는 모든 환경이 영향 범위에 포함됩니다. GitLab.com은 이미 패치가 완료되었으나, 자체 서버를 운영 중인 고객은 보안 유지를 위해 지원되는 최신 패치 릴리스로 즉시 업그레이드해야 합니다. 각 취약점에 대한 상세한 이슈 내용은 보안 정책에 따라 릴리스 30일 후에 공개될 예정입니다.

오픈 소스 취약점 트렌드 1년: CVE, 보안 권고 및 악성코드 (새 탭에서 열림)

GitHub Security Lab의 일원인 보안 분석가는 오픈소스 생태계의 안전을 위해 취약점 데이터를 관리하고 표준화하는 핵심적인 역할을 수행합니다. 이들은 GitHub 자문 데이터베이스(Advisory Database)를 운영하고 CVE 식별자를 직접 발행함으로써, 전 세계 개발자들이 보안 위협에 신속하게 대응할 수 있는 기반을 제공합니다. **보안 자문 데이터베이스 큐레이션** * GitHub Advisory Database의 큐레이터로서 소프트웨어 공급망에서 발생하는 다양한 보안 정보를 수집하고 정제합니다. * 개발자들이 사용 중인 라이브러리의 취약점을 명확히 인지하고 조치할 수 있도록 보안 자문 콘텐츠를 최신 상태로 유지합니다. **CVE 식별자 발행 및 취약점 기록 관리** * 보안 취약점에 고유 번호를 부여하는 CVE ID 발행 권한을 가진 전문가로서, 새로운 취약점을 공식적으로 등록합니다. * 각 취약점의 세부 사항을 담은 CVE 레코드를 작성하고 게시하여, 보안 업계 전체가 표준화된 정보를 공유할 수 있도록 돕습니다. **GitHub Security Lab의 역할** * 단순한 분석을 넘어 보안 연구소의 구성원으로서 실제적인 보안 위협을 식별하고 해결책을 제시합니다. * 전 세계 소프트웨어 프로젝트의 투명성을 높이기 위해 보안 커뮤니티와 협력하며 기술적 지원을 지속합니다. 보안 분석가는 단순히 취약점을 찾는 것에 그치지 않고, 이를 데이터화하고 전파하여 소프트웨어 생태계 전반의 보안 수준을 높이는 데 기여하고 있습니다. 신뢰할 수 있는 오픈소스 환경을 구축하기 위해 CVE와 같은 표준화된 기록 체계를 적극적으로 활용하는 것이 중요합니다.

자동 종료 정책으로 대규모 취약점 노이즈 관리하기 (새 탭에서 열림)

GitLab의 자동 취약점 상태 해제(auto-dismiss) 정책은 보안 스캐너에서 발생하는 막대한 양의 노이즈를 효과적으로 관리하여 보안팀이 실제 중요한 취약점에 집중할 수 있게 돕습니다. 테스트 코드, 외부 라이브러리, 자동 생성된 파일 등 실제 수정이 필요 없는 항목들을 정책에 따라 자동으로 제외함으로써 보안 심사 효율을 높이고 개발 부서와의 마찰을 줄일 수 있습니다. 이 기능은 단순히 경고를 숨기는 것이 아니라 해제 사유를 투명하게 기록하고 대규모 프로젝트에 일관된 기준을 적용한다는 점에서 핵심적인 보안 운영 도구입니다. ### 자동 취약점 상태 해제의 필요성과 장점 * **트리아지(Triage) 노이즈 제거:** 테스트 코드나 벤더링된 의존성 파일에서 반복적으로 발생하는 불필요한 보안 경고를 자동으로 처리하여 보안팀의 업무 과부하를 방지합니다. * **조직적 일관성 유지:** 조직 전체에 공통적으로 적용되는 오탐(False Positive) 기준을 중앙에서 정책으로 관리하여 모든 프로젝트에 일관되게 적용할 수 있습니다. * **감사 투명성 및 데이터 보존:** 스캐너 제외 방식과 달리, 해제된 취약점도 보고서에 기록으로 남으며 정책 링크와 해제 사유가 포함되어 사후 검토 및 감사가 용이합니다. ### 정책 작동 원리 및 적용 단계 * **YAML 기반 정책 정의:** 취약점 관리 정책 파일에 파일 경로, 디렉토리명 또는 특정 식별자(CVE, CWE)를 매칭 기준으로 설정하고, 해제 사유(예: 테스트 용도, 완화 제어 등)를 명시합니다. * **정책 활성화:** GitLab의 '보안 > 정책' 메뉴에서 취약점 관리 정책을 새로 생성하고 머지 요청(MR)을 통해 활성화합니다. * **파이프라인 연동:** 기본 브랜치 파이프라인이 실행될 때마다 정책이 적용되며, 실행당 최대 1,000개의 일치하는 취약점을 자동으로 '해제(Dismissed)' 상태로 변경합니다. * **결과 분석:** 취약점 보고서에서 '해제됨' 상태로 필터링하여 정책이 의도대로 작동했는지 확인하고 보안 임팩트를 측정할 수 있습니다. ### 주요 활용 사례 및 구성 시나리오 * **테스트 및 스펙 코드 제외:** `test/**/*`, `spec/**/*` 등 테스트 디렉토리에서 발견되는 하드코딩된 자격 증명이나 안전하지 않은 픽스처 관련 경고를 '테스트 사용' 사유로 자동 해제합니다. * **외부 의존성 및 벤더링 코드 관리:** `vendor/`, `node_modules` 등 직접 수정 권한이 없거나 상류(Upstream)에서 관리되는 외부 코드의 취약점을 필터링합니다. * **알려진 오탐 CVE 처리:** 조직 환경에서 위협이 되지 않는 것으로 확인된 특정 CVE 번호를 식별자로 등록하여 반복적인 수동 개입을 방지합니다. * **자동 생성된 코드 예외 처리:** Protobuf, gRPC, OpenAPI 생성기 등이 만든 파일(`**/*.pb.go` 등)에서 발생하는 수정 불가능한 패턴을 관리 대상에서 제외합니다. * **인프라 수준의 완화 조치 반영:** WAF(웹 방화벽)나 런타임 보호 도구에 의해 이미 방어되고 있는 XSS(CWE-79), SQL 주입(CWE-89) 등의 취약점에 '완화 제어 적용' 사유를 부여합니다. 효율적인 보안 운영을 위해서는 무분별한 경고 확인보다 정교한 정책 수립이 중요합니다. 처음에는 테스트 디렉토리와 같이 명확한 영역부터 자동 해제 정책을 적용해보고, 점진적으로 오탐으로 확인된 CVE나 CWE로 범위를 넓혀가며 보안 팀의 생산성을 극대화할 것을 추천합니다.

YEYE가 지켜보고 있다–카카오의 공격 표면 관리 이야기 (새 탭에서 열림)

카카오는 복잡해지는 외부 공격 표면을 체계적으로 관리하기 위해 통합 ASM(Attack Surface Management) 도구인 'YEYE'를 개발하여 운영 중입니다. YEYE는 자산 식별부터 취약점 스캐닝, 데이터 연관 분석까지 자동화하며, 이를 'DSR(Daily Security Review)'이라는 매일의 보안 프로세스와 결합해 실질적인 리스크를 선제적으로 제거합니다. 이를 통해 기술적 자동화와 인적 리뷰가 유기적으로 연결된 견고한 보안 방어 체계를 구축하고 있습니다. ### 공격 표면 관리의 핵심, YEYE와 DSR * 2023년 탄생한 YEYE는 산재된 보안 도구를 통합하여 외부 접점이 있는 IP, 도메인, 포트, 모바일 앱 등 모든 디지털 자산을 가시화합니다. * 단순한 도구 도입에 그치지 않고, 매일 오전 외부 피드와 공개 취약점을 검토하는 DSR(Daily Security Review) 프로세스를 통해 사람에 의한 심층 분석을 병행합니다. * 이를 통해 보안 검수를 받지 않은 자산 노출이나 최신 CVE 이슈에 대해 공격자보다 한발 앞선 대응 체계를 유지합니다. ### 자산의 체계적 정의와 데이터 모델링 * 자산을 범위(In/Out), 타입(Domain/IP/Port 등), 식별 여부(Known/Unknown)로 분류하여 자산이 확장되더라도 일관된 관리 규칙을 적용합니다. * 다양한 소스에서 수집된 정보를 표준화하고 레이블링(Labeling)하여 데이터의 근본적인 성격을 정의하고 활용도를 높입니다. * 자산과 취약점, CVE, 담당자 정보를 다형성 구조로 연결하여 특정 보안 이슈 발생 시 영향 범위를 즉각적으로 파악하고 조치 이력을 추적할 수 있습니다. ### 대규모 스캔 환경의 기술적 최적화 * **네트워크 병목 해소:** 내부 물리 서버의 대역폭 한계를 극복하기 위해 퍼블릭 클라우드를 병행 운영함으로써 대규모 동시 요청 시 발생하는 지연 문제를 해결했습니다. * **병렬 스캔 구조 구현:** 오픈소스 스캐너의 단일 프로세스 한계를 넘기 위해 스케줄러와 큐, 다수의 워커가 독립적으로 작동하는 분산 병렬 처리 구조를 직접 설계했습니다. * **비용 및 성능 균형:** 고사양 서버를 무조건 투입하기보다 스캔 특성에 맞는 최소 스펙을 도출하고, 적정 스펙의 서버를 효율적으로 분산 확장하는 가성비 기반 인프라를 구축했습니다. * **서비스 영향 최소화:** 스캔 트래픽을 공격으로 오해하지 않도록 고정 IP와 전용 User-Agent 정보를 제공하며, 초당 호출 수와 타임아웃 등 핵심 파라미터를 정밀하게 튜닝했습니다. 공격 표면 관리는 단순히 자산을 찾는 기술을 넘어, 수집된 데이터를 자산 중심으로 연결하고 매일 반복되는 리뷰 프로세스를 내재화할 때 완성됩니다. 대규모 인프라를 운영하는 조직이라면 네트워크 병목과 비용 효율을 고려한 분산 스캔 구조를 설계하고, 서비스 부하를 고려한 정밀한 튜닝을 통해 공격자보다 먼저 약점을 찾아내는 체계를 갖출 것을 권장합니다.