작성자: Moru (2010-08-16)
WEBrick에서 보안 취약점이 발견되었습니다. 이번 취약점은 CVE-2010-0541을 통해 보고되었습니다.
WEBrick에서 크로스사이트 스크립팅 취약점이 발견되었습니다. 이는 외부 공격자가 특정한 URI를 이용하여, 임의의 스크립트나 HTML 코드 삽입을 할 수 있는 취약점입니다. 이 취약점은 HTTP/1.1을 엄격하게 지키고 있는 User agent에서는 영향이 없으나 모든 User agent가 HTML/1.1을 지키고 있지는 않습니다.
따라서 아래의 버전에 포함되는 경우 반드시 최신 버전 혹은 패치를 적용하기를 권장합니다.
- 루비 1.8.6-p399 및 그 이전 버전
- 루비 1.8.7-p299 및 그 이전 버전
- 루비 1.9.1-p429 및 그 이전 버전
- 루비 1.9.2 RC2 및 그 이전 버전
- 루비 1.9 dev(1.9.3)
해결방법
1.8.6/1.8.7/1.9.1 각각의 수정본은 아래를 참고하십시오.
- 1.8.6:
- 1.8.7: 최신 버전인 1.8.7-p302로 업그레이드
- 1.9.1: 최신 버전인 1.9.1-p430으로 업그레이드
- 패치: webrick-cve-2010-0541.diff
개발버전(dev)의 경우는 개발용 브랜치에서 최신 리비전을 다운로드하시기 바랍니다.
패치를 적용할 경우 대상파일은 $(libdir)/ruby/${ruby_version}/webrick/httpresponse.rb입니다. 이 패치는 Hirokazu NISHIO 씨가 작성하였습니다.
- SIZE:
- 466 bytes
- MD5:
- 395585e1aae7ddef842f0d1d9f5e6e07
- SHA256:
- 6bf7dea0fc78f0425f5cbb90f78c3485793f27bc60c11244b6ba4023445f3567
보고자
이번 취약점은 Apple Inc에서 최초로 발견하여 CVE-2010-0541로 공개한 것을 Hideki Yamane 씨가 루비 보안 팀으로 보고하였습니다. [ruby-dev:42003] 참고.