CVE-2017-10784: WEBrick 베이직 인증에 이스케이프 시퀀스 삽입 취약점 발생

루비 부가라이브러리 WEBrick의 베이직 인증에 이스케이프 시퀀스 삽입 취약점이 있습니다. 이 취약점은 CVE 아이디 CVE-2017-10784로 할당하였습니다.

세부 내용

WEBrick의 베이직 인증을 사용할 때, 클라이언트는 사용자 이름으로 임의 문자열을 넘길 수 있습니다. WEBrick은 사용자 이름을 있는 그대로 받아서 로그로 출력하므로, 공격자가 이스케이프 시퀀스를 고의로 조작하여 위험한 제어 문자가 피해자의 터미널 에뮬레이터에서 실행될 수 있도록 로그에 삽입할 수 있습니다.

이 취약점은 이미 수정한 취약점과 비슷하지만, 기본 인증에서는 수정하지 않았습니다.

해당 버전을 사용하는 모든 사용자는 즉시 업그레이드하기 바랍니다.

해당 버전

  • 루비 2.2 버전대: 2.2.7 이하
  • 루비 2.3 버전대: 2.3.4 이하
  • 루비 2.4 버전대: 2.4.1 이하
  • 리비전 58453 이전의 트렁크

도움을 준 사람

이 사안을 보고한 엔도 유스케(mame@ruby-lang.org)에게 감사합니다.

수정 이력

  • 2017-09-14 21:00:00 (KST) 최초 공개