임의의 코드를 실행할 수 있는 보안 취약점

작성자: Bryan Kang (2008-06-23)

루비에서 서비스 거부 공격(DoS)을 일으키거나 임의의 코드를 실행할 수 있는 보안 취약점이 다수 발견되었습니다.

파장

아래 보안 취약점으로, 공격자는 서비스 거부 공격을 하거나, 임의의 코드를 실행할 수 있습니다.

• CVE-2008-2662
• CVE-2008-2663
• CVE-2008-2725
• CVE-2008-2726
• CVE-2008-2664

취약한 버전

1.8 시리즈

• 1.8.4와 그 이전 버전
• 1.8.5-p230과 그 이전 버전
• 1.8.6-p229와 그 이전 버전
• 1.8.7-p21과 그 이전 버전

1.9 시리즈

• 1.9.0-1과 그 이전 버전

해결책

1.8 시리즈

1.8.5-p231, 1.8.6-p230, 1.8.7-p22 버전으로 업그레이드하시기 바랍니다.

• <URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-p231.tar.gz> (md5sum: e900cf225d55414bffe878f00a85807c)
• <URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p230.tar.gz> (md5sum: 5e8247e39be2dc3c1a755579c340857f)
• <URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p22.tar.gz> (md5sum: fc3ede83a98f48d8cb6de2145f680ef2)

1.9 시리즈

1.9.0-2로 업그레이드하시기 바랍니다.

• <URL:https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.0-2.tar.gz> (md5sum: 2a848b81ed1d6393b88eec8aa6173b75)

이 버전에서는 WEBrick의 보안 취약점도 해결되었습니다(CVE-2008-1891).

현재 사용 중인 패키지 관리 소프트웨어에서 취약점을 이미 해결된 버전을 찾을 수 있는지 먼저 확인하시기 바랍니다.

보고자

애플 제품 보안팀의 Drew Yao 씨가 루비 보안팀에 이 사실을 보고해주었습니다.

변경사항

• 2008-06-21 00:29 +09:00 잘못된 CVE ID(CVE-2008-2727, CVE-2008-2728)를 수정하였습니다.