WEBrick XSS취약점 (CVE-2010-0541)

WEBrick에서 보안 취약점이 발견되었습니다. 이번 취약점은 CVE-2010-0541을 통해 보고되었습니다.

WEBrick에서 크로스사이트 스크립팅 취약점이 발견되었습니다. 이는 외부 공격자가 특정한 URI를 이용하여, 임의의 스크립트나 HTML 코드 삽입을 할 수 있는 취약점입니다. 이 취약점은 HTTP/1.1을 엄격하게 지키고 있는 User agent에서는 영향이 없으나 모든 User agent가 HTML/1.1을 지키고 있지는 않습니다.

따라서 아래의 버젼에 포함되는 경우 반드시 최신 버젼 혹은 패치를 적용하기를 권장합니다.

  • Ruby 1.8.6-p399 및 그 이전 버젼
  • Ruby 1.8.7-p299 및 그 이전 버젼
  • Ruby 1.9.1-p429 및 그 이전 버젼
  • Ruby 1.9.2 RC2 및 그 이전 버젼
  • Ruby 1.9 dev(1.9.3)

해결방법

1.8.6/1.8.7/1.9.1 각각의 수정본은 아래를 참고하십시오.

개발버젼(dev)의 경우는 개발용 브랜치에서 최신 리비젼을 다운로드하시기 바랍니다.

패치를 적용할 경우 대상파일은 $(libdir)/ruby/${ruby_version}/webrick/httpresponse.rb입니다. 이 패치는 Hirokazu NISHIO씨가 작성하였습니다.

SIZE:
466 bytes
MD5:
395585e1aae7ddef842f0d1d9f5e6e07
SHA256:
6bf7dea0fc78f0425f5cbb90f78c3485793f27bc60c11244b6ba4023445f3567

보고자

이번 취약점은 Apple Inc에서 최초로 발견하여 CVE-2010-0541로 공개한 것을 Hideki Yamane씨가 Ruby Security Team으로 보고하였습니다. [ruby-dev:42003] 참고.