CVE-2018-8777: WEBrick의 커다란 요청을 통한 서비스 거부 공격 취약점

작성자: usa (2018-03-28)
번역자: shia

루비에 내장된 WEBrick에서 공격자가 커다란 요청을 전송하는 것으로 메모리를 소비하도록 만들어 서비스 거부 공격을 가능하게 하는 취약점이 발견되었습니다. 이 취약점은 CVE 아이디 CVE-2018-8777로 할당되었습니다.

세부 내용

공격자가 커다란 HTTP 헤더를 포함하는 요청을 보내는 경우, WEBrick은 그 요청을 메모리 상에서 처리하려고 시도하기 때문에 메모리를 소비하여 서비스 거부 공격을 가능하게 합니다.

해당 버전을 사용하는 모든 사용자는 즉시 업그레이드하기 바랍니다.

해당 버전

• 루비 2.2 버전대: 2.2.9 이하
• 루비 2.3 버전대: 2.3.6 이하
• 루비 2.4 버전대: 2.4.3 이하
• 루비 2.5 버전대: 2.5.0 이하
• 루비 2.6 버전대: 2.6.0-preview1
• 리비전 62965 이전의 트렁크

도움을 준 사람

이 문제는 Eric Wong e@80x24.org이 보고했습니다.

수정 이력

• 2018-03-28 23:00:00 (KST) 최초 공개