또 하나의 CGI 라이브러리 보안 취약성

루비와 함께 배포된 CGI 라이브러리(cgi.rb)에서 DoS(denial of service) 공격의 여지가 있는 취약점이 하나 더 발견되었습니다.

cgi.rb를 사용하는 웹 애플리케이션 모두에 특정 HTTP 요청이 전달되었을 때 해당 머신의 CPU 자원을 고갈할 여지가 있습니다. 이런 요청으로 DoS의 여지가 생깁니다. 취약성에 대한 자세한 내용은 JVN#84798830를 참고하세요.

이전 패치인 http://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-cgi-dos-1.patch 에서 이 문제를 함께 해결하지는 않습니다.

취약한 버전

  • 1.8 시리즈
    • 1.8.5와 이전 버전 모두
  • 개발 버전 (1.9 시리즈)
    • 2006-12-04 이전의 모든 버전

해결책

  • 1.8 시리즈
    • 1.8.5-p2로 업그래이드 하세요.
      • http://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-p2.tar.gz (4519151 bytes, md5sum: a3517a224716f79b14196adda3e88057)
    • 시스템에서 팩키지 관리 소프트웨어를 사용한다면 이 점은 모두 수정되었습니다.
  • 개발 버전 (1.9 시리즈)
    • 2006-12-04 이후 버전으로 업데이트 하기 바랍니다.