CGI 라이브러리 보안 취약점

루비와 함께 배포된 CGI 라이브러리(cgi.rb)에서 DoS(denial of service) 공격의 여지가 있는 취약점이 발견되었습니다. 이 문제는 멀티파티 MIME 인코딩을 사용하는 HTTP 요청을 보낼 때 경계를 나타내는 '–' 대신 '-'를 사용할 경우 나타날 수 있습니다. 이렇게 되면 메모리 리소스를 고갈시켜버림으로써 DoS 공격이 됩니다.

루비 1.8.5와 이전 버전 모두에 해당하는 취약점입니다. 자세한 내용은 CVE-2006-5467을 참고하세요.

취약한 버전

  • 1.8 시리즈
    • 1.8.5와 이전 버전 모두
  • 개발 버전 (1.9 시리즈)
    • 2006-09-23 이전의 모든 버전

해결책

  • 1.8 시리즈
    • 1.8.5로 업그레이드 한 이후 아래 패치를 적용하기 바랍니다.
      • CGI DoS Patch (367 bytes; md5sum: 9d25f59d1c33a0b215f6c25260dcb536)
    • 시스템에서 패키지 관리 소프트웨어를 사용한다면 이 점은 모두 수정되었습니다.
  • 개발 버전 (1.9 시리즈)
    • 2006-09-23 이후 버전으로 업데이트 하기 바랍니다.

참고