작성자: hsbt (2024-04-23)
번역자: shia
정규표현식 검색의 임의의 메모리 주소 읽기 취약점에 대한 보안 수정을 포함하는 Ruby 3.0.7, 3.1.5, 3.2.4, 3.3.1을 릴리스했습니다. 이 취약점은 CVE 번호 CVE-2024-27282로 등록되어 있습니다.
세부 내용
Ruby 3.x부터 3.3.0까지 문제가 발견되었습니다.
공격자가 제공한 데이터가 Ruby 정규표현식 컴파일러에 제공되면, 텍스트 시작 지점과 관련된 임의의 힙 데이터를 추출할 수 있습니다. 여기에는 포인터와 민감한 문자열을 포함됩니다.
권장 조치
Ruby를 3.3.1이나 그 이상으로 업데이트하는 것이 좋습니다. 이전 Ruby 버전대에 포함된 버전과의 호환성을 보장하기 위해 다음과 같이 업데이트할 수 있습니다.
- Ruby 3.0 사용자: 3.0.7로 업데이트
- Ruby 3.1 사용자: 3.1.5로 업데이트
- Ruby 3.2 사용자: 3.2.4로 업데이트
- Ruby 3.3 사용자: 3.3.1로 업데이트
해당 버전
- Ruby 3.0.6과 그 이하
- Ruby 3.1.4와 그 이하
- Ruby 3.2.3과 그 이하
- Ruby 3.3.0
도움을 준 사람
이 문제를 발견해 준 sp2ip에게 감사를 표합니다.
수정 이력
- 2024-04-23 10:00:00 (UTC) 최초 공개