작성자: usa (2018-03-28)
번역자: shia
루비에 포함된 WEBrick에서 공격자가 가짜 HTTP 응답을 생성할 수 있는 취약점이 발견되었습니다. 이 취약점은 CVE 아이디 CVE-2017-17742로 할당되었습니다.
세부 내용
WEBrick에서 외부의 입력을 받아 변경없이 그대로 HTTP 응답의 일부로 사용하면, 공격자는 개행 문자를 사용해 마치 HTTP 응답 헤더가 거기에서 종료된 것처럼 속이고, 그 이후에 임의의 HTTP 응답을 주입하여 이용자에게 악의적인 정보를 보여줄 수 있습니다.
해당 버전을 사용하는 모든 사용자는 즉시 업그레이드하기 바랍니다.
해당 버전
- 루비 2.2 버전대: 2.2.9 이하
- 루비 2.3 버전대: 2.3.6 이하
- 루비 2.4 버전대: 2.4.3 이하
- 루비 2.5 버전대: 2.5.0 이하
- 루비 2.6 버전대: 2.6.0-preview1
- 리비전 62968 이전의 트렁크
도움을 준 사람
이 문제는 Aaron Patterson tenderlove@ruby-lang.org이 보고했습니다.
수정 이력
- 2018-03-28 23:00:00 (KST) 최초 공개