CVE-2020-10663: JSON의 안전하지 않은 객체 생성 취약점(추가 수정)

작성자: mame (2020-03-19)
번역자: yous

루비에 포함된 json 젬에 안전하지 않은 객체 생성 취약점이 있습니다. 이 취약점에 CVE-2020-10663이 할당되었습니다. json 젬을 업그레이드하는 것을 강력히 권장합니다.

세부 내용

특정 JSON 문서를 파싱할 때, json 젬(루비에 포함된 젬을 포함해서)이 대상 시스템에 임의의 객체를 생성하도록 강요될 수 있습니다.

이는 CVE-2013-0269와 같은 문제입니다. 이전 수정이 완전하지 않아서 JSON.parse(user_input)는 고쳤지만 JSON(user_input)과 JSON.parse(user_input, nil)을 포함한 다른 유형의 JSON 파싱은 고치지 않았습니다.

자세한 내용은 CVE-2013-0269를 참조하세요. 이 문제는 가비지 컬렉션이 불가능한 Symbol 객체를 다수 생성하여 서비스 거부 공격(DoS)을 일으키도록 공격할 수 있었습니다. 하지만 Symbol 객체가 가비지 컬렉션이 가능해져서 이런 유형의 공격은 더 이상 가능하지 않습니다.

json 젬을 2.3.0 이후 버전으로 업데이트해주세요. gem update json으로 업데이트할 수 있습니다. bundler를 사용한다면 Gemfile에 gem "json", ">= 2.3.0"을 추가하세요.

해당 버전

• JSON 젬 2.2.0 이하

도움을 준 사람

이 문제를 발견해 준 Jeremy Evans에게 감사를 표합니다.

수정 이력

• 2020-03-19 13:00:00 (UTC) 최초 공개