CVE-2021-28965: REXML의 XML 왕복 변환(round-trip) 취약점

작성자: mame (2021-04-05)
번역자: yous

Ruby에 포함된 REXML gem에 XML 왕복 변환(round-trip) 취약점이 있습니다. 이 취약점은 CVE 번호 CVE-2021-28965에 할당되었습니다. REXML gem을 업그레이드하시길 강력히 권합니다.

세부 내용

조작된 XML 문서를 파싱하고 직렬화할 때, (Ruby에 포함된 버전을 포함해서) REXML gem은 기존 문서와 다른 구조의 XML 문서를 생성할 수 있습니다. 이 문제로 받는 영향은 상황에 따라 다르지만, REXML을 사용하는 프로그램의 취약점으로 이어질 수 있습니다.

REXML gem을 3.2.5 버전 이상으로 업데이트하시기 바랍니다.

Ruby 2.6 이상을 사용한다면:

• Ruby 2.6.7, 2.7.3, 3.0.1을 사용하세요.
• 또는 gem update rexml을 사용해 이를 업데이트할 수 있습니다. bundler를 사용한다면, Gemfile에 gem "rexml", ">= 3.2.5"를 추가하세요.

Ruby 2.5.8 이하를 사용한다면:

• Ruby 2.5.9를 사용하세요.
• Ruby 2.5.8 이하에서는 gem update rexml을 사용할 수 없습니다.
• Ruby 2.5 버전대의 지원이 종료되었으니, Ruby 2.6.7 이상으로 가능한 한 빨리 업그레이드하시길 바랍니다.

해당 버전

• Ruby 2.5.8 이하 (이 버전에서는 gem update rexml을 할 수 없습니다.)
• Ruby 2.6.6 이하
• Ruby 2.7.2 이하
• Ruby 3.0.0
• REXML gem 3.2.4 이하

도움을 준 사람

이 문제를 발견해 준 Juho Nurminen에게 감사를 표합니다.

수정 이력

• 2021-04-05 12:00:00 (UTC) 최초 공개