다음은 Developer Connect와 관련된 모든 보안 게시판에 대한 설명입니다.
제공되는 최신 보안 게시판을 보려면 다음 중 하나를 수행합니다.
GCP-2026-048
게시: 2026년 7월 13일
설명
| 설명 | 심각도 | 참고 |
|---|---|---|
|
저장소 연결을 만들거나 업데이트할 때 Developer Connect는 Secret Manager 보안 비밀을 사용하여 서드 파티 Git 제공업체를 인증합니다. GitLab Enterprise (GLE) 및 Bitbucket 데이터 센터 (BBDC) 연결의 경우 이러한 참조된 보안 비밀은 이전에 Developer Connect 서비스 에이전트 (P4SA)에서 사용자를 대신하여 검색했습니다. 즉, 권한 검사는 호출 주 구성원의 사용자 인증 정보가 아닌 P4SA의 사용자 인증 정보에 대해 실행되었습니다. 이렇게 하면 제한된 권한이 있는 주 구성원이 저장소 연결 호스트 URI를 공격자가 제어하는 엔드포인트로 지정하여 참조된 Secret Manager 보안 비밀을 읽을 수 있습니다. 이 취약점을 완화하고 최소 권한의 보안 원칙을 준수하기 위해 Developer Connect는 이제 GitLab Enterprise (GLE) 및 Bitbucket 데이터 센터 (BBDC) 연결의 저장소 연결 API를 호출할 때 호출 주 구성원의 사용자 인증 정보 (최종 사용자 사용자 인증 정보 사용)와 P4SA 모두에 대해 권한을 확인합니다. 특히 이제 서버는 호출자와 P4SA 모두 참조된 Secret Manager 보안 비밀에 대해 어떻게 해야 하나요? 기존 저장소 연결에 대한 별도의 조치는 필요하지 않습니다. GitLab Enterprise (GLE) 또는 Bitbucket 데이터 센터 (BBDC) 저장소 연결을 만들거나 업데이트할 때 권한 오류가 발생하면 참조된 보안 비밀에 대해 연결을 만들거나 업데이트하는 사용자 또는 서비스 계정에 Secret Manager 보안 비밀 접근자 ( 이 패치로 어떤 취약점이 해결되나요? 이 취약점으로 인해 저장소 연결 관리자 액세스 권한이 있는 사용자가 참조된 Secret Manager 보안 비밀을 읽을 수 있었습니다. 권한 검사는 P4SA의 사용자 인증 정보에 대해서만 실행되었기 때문입니다. GitLab Enterprise (GLE) 및 Bitbucket 데이터 센터 (BBDC) 연결의 경우 호출 주 구성원(최종 사용자 사용자 인증 정보 사용)과 P4SA 모두에 대해 권한 검사를 요구함으로써 보안 비밀에 대해 |
보통 |