CVE-2021-41816: CGI.escape_html에서의 버퍼 오버런

작성자: mame (2021-11-24)
번역자: shia

CGI.escape_html에서 버퍼 오버런 취약점이 발견되었습니다. 이 취약점은 CVE 번호 CVE-2021-41816으로 등록되었습니다. Ruby를 갱신하는 것을 강력히 권장합니다.

세부 내용

이 보안 취약점은 long 타입으로 4바이트를 받는, Windows 등의 환경에서 CGI.escape_html에 700MB 이상의 매우 긴 문자열을 넘길 경우 버퍼 오버플로를 발생시킵니다.

cgi gem의 버전을 0.3.1, 0.2.1, 0.1.1 또는 그 이상의 버전으로 갱신해 주세요. gem update cgi 명령으로 갱신할 수 있습니다. Bundler를 사용하고 있다면, Gemfile에 gem "cgi", ">= 0.3.1"를 추가해 주세요. 또는 Ruby를 2.7.5나 3.0.3으로 갱신해 주세요.

이 문제는 Ruby 2.7에서 발생했으므로, Ruby 2.6에 내장되어있는 cgi 버전은 영향을 받지 않습니다.

해당 버전

• cgi gem 0.1.0 이하(Ruby 2.7.5 이하에 내장된 버전)
• cgi gem 0.2.0 이하(Ruby 3.0.3 이하에 내장된 버전)
• cgi gem 0.3.0 이하

도움을 준 사람

이 문제를 발견해 준 chamal에게 감사를 표합니다.

수정 이력

• 2021-11-24 12:00:00 (UTC) 최초 공개