CVE-2023-36617: URI의 ReDoS 취약점

작성자: hsbt (2023-06-29)
번역자: shia

ReDoS 취약점에 대한 보안 수정이 포함된 uri gem 버전 0.12.2, 0.10.3을 릴리스했습니다. 이 취약점에는 CVE 식별자 CVE-2023-36617이 할당되었습니다.

세부 내용

0.12.1 이전의 URI 구성 요소에서 ReDoS 문제가 발견되었습니다. URI 구문 분석기가 특정 문자가 포함된 유효하지 않은 URL을 잘못 처리합니다. 이로 인해 rfc2396_parser.rbrfc3986_parser.rb를 사용해 문자열을 URI 객체로 구문 분석하는 데 걸리는 실행 시간이 증가합니다.

NOTE: 이 문제는 CVE-2023-28755의 불완전한 수정으로 발생했습니다.

uri gem의 0.12.1과 모든 0.12.1 이하 버전이 이 취약점에 취약합니다.

권장 조치

uri gem을 0.12.2로 업데이트하는 것이 좋습니다. 이전 Ruby 버전대에 포함된 버전과의 호환성을 보장하기 위해 다음과 같이 업데이트할 수 있습니다.

  • Ruby 3.0: uri 0.10.3으로 업데이트
  • Ruby 3.1: uri 0.12.2로 업데이트
  • Ruby 3.2: uri 0.12.2로 업데이트하거나 Ruby를 3.2.3으로 업데이트

gem update uri를 사용하여 업데이트할 수 있습니다. bundler를 사용하는 경우 gem "uri", ">= 0.12.2"(또는 위에 언급된 다른 버전)을 Gemfile에 추가하세요.

해당 버전

  • uri gem 0.12.1과 그 이하

도움을 준 사람

이 문제를 발견해 준 ooooooo_q에게 감사를 표합니다.

이 문제를 수정해 준 nobu에게 감사를 표합니다.

수정 이력

  • 2024-01-18 12:00:00 (UTC) Ruby 3.2를 위한 새 권장 조치를 추가
  • 2023-06-29 01:00:00 (UTC) 최초 공개