작성자: hsbt (2023-06-29)
번역자: shia
ReDoS 취약점에 대한 보안 수정이 포함된 uri gem 버전 0.12.2, 0.10.3을 릴리스했습니다. 이 취약점에는 CVE 식별자 CVE-2023-36617이 할당되었습니다.
세부 내용
0.12.1 이전의 URI 구성 요소에서 ReDoS 문제가 발견되었습니다. URI 구문 분석기가 특정 문자가 포함된 유효하지 않은 URL을 잘못 처리합니다. 이로 인해 rfc2396_parser.rb
와 rfc3986_parser.rb
를 사용해 문자열을 URI 객체로 구문 분석하는 데 걸리는 실행 시간이 증가합니다.
NOTE: 이 문제는 CVE-2023-28755의 불완전한 수정으로 발생했습니다.
uri
gem의 0.12.1과 모든 0.12.1 이하 버전이 이 취약점에 취약합니다.
권장 조치
uri
gem을 0.12.2로 업데이트하는 것이 좋습니다. 이전 Ruby 버전대에 포함된 버전과의 호환성을 보장하기 위해 다음과 같이 업데이트할 수 있습니다.
- Ruby 3.0:
uri
0.10.3으로 업데이트 - Ruby 3.1:
uri
0.12.2로 업데이트 - Ruby 3.2:
uri
0.12.2로 업데이트하거나 Ruby를 3.2.3으로 업데이트
gem update uri
를 사용하여 업데이트할 수 있습니다. bundler를 사용하는 경우 gem "uri", ">= 0.12.2"
(또는 위에 언급된 다른 버전)을 Gemfile
에 추가하세요.
해당 버전
- uri gem 0.12.1과 그 이하
도움을 준 사람
이 문제를 발견해 준 ooooooo_q에게 감사를 표합니다.
이 문제를 수정해 준 nobu에게 감사를 표합니다.
수정 이력
- 2024-01-18 12:00:00 (UTC) Ruby 3.2를 위한 새 권장 조치를 추가
- 2023-06-29 01:00:00 (UTC) 최초 공개