CVE-2017-14033: OpenSSL ASN1 디코드할 때 버퍼 언더런 취약점 발생
작성자: usa (2017-09-14)
번역자: wagurano
루비 표준 부가라이브러리 OpenSSL에 버퍼 언더런 취약점이 있습니다. 이 취약점은 CVE 아이디 CVE-2017-14033로 할당하였습니다.
세부 내용
OpenSSL::ASN1의 decode 메서드에 고의로 조작한 문자열을 넘기면, 버퍼 언더런이 발생하여 루비 인터프리터가 뻗어버릴 수 있습니다.
해당 버전을 사용하는 모든 사용자는 즉시 업그레이드를 하거나 아래 해결 방법으로 조치하기 바랍니다.
해당 버전
- 루비 2.2 버전대: 2.2.7 이하
- 루비 2.3 버전대: 2.3.4 이하
- 루비 2.4 버전대: 2.4.1 이하
- 리비전 56946 이전의 트렁크
해결 방법
OpenSSL 라이브러리는 젬으로도 배포합니다. 루비 버전을 올릴 수 없다면, 버전 2.0.0 이후 OpenSSL 젬을 설치합니다. 그러나 이 해결 방법은 루비 2.4 버전대에서만 유효합니다. 루비 2.2 / 2.3 버전대를 사용하는 경우, OpenSSL 젬 2.0.0 이후 버전을 사용하지 않습니다.
도움을 준 사람
이 사안을 보고한 asac에게 감사합니다.
수정 이력
- 2017-09-14 21:00:00 (KST) 최초 공개
최근 소식
Ruby 3.2.10 릴리스
Ruby 3.2.10이 릴리스되었습니다.
작성자: hsbt (2026-01-14)
Ruby 4.0.1 릴리스
Ruby 4.0.1이 릴리스되었습니다.
작성자: k0kubun (2026-01-13)
Ruby 4.0.0 릴리스
Ruby 4.0.0 릴리스를 알리게 되어 기쁩니다. Ruby 4.0은 “Ruby Box”와 “ZJIT”를 도입하고, 많은 개선을 추가합니다.
작성자: naruse (2025-12-25)
Ruby 문서의 새로운 모습
ruby-lang.org 재디자인에 이어, Ruby의 30주년을 기념하는 또 다른 소식을 전합니다. docs.ruby-lang.org가 RDoc의 새로운 기본 테마인 Aliki와 함께 완전히 새로운 모습으로 탈바꿈했습니다.
작성자: Stan Lo (2025-12-23)