CVE-2022-28739: String에서 Float로 변환할 때의 버퍼 오버런
작성자: mame (2022-04-12)
번역자: shia
String에서 Float로 변환하는 알고리즘에서 버퍼 오버런 취약점이 발견되었습니다. 이 취약점은 CVE 번호 CVE-2022-28739로 등록되었습니다. Ruby를 갱신하는 것을 강력히 권장합니다.
세부 내용
String에서 Float로 변환하는 내부 함수의 버그로 인해, Kernel#Float와 Sting#to_f 등의 몇몇 메서드가 버퍼를 과도하게 읽어 들일 수 있습니다.
일반적으로는 세그먼트 폴트가 발생해 프로세스가 종료됩니다만, 제한된 환경에서 범위 밖의 메모리를 읽기 위해 악용될 수 있습니다.
Ruby를 2.6.10, 2.7.6, 3.0.4, 3.1.2로 갱신해 주세요.
해당 버전
- Ruby 2.6.9 이하
- Ruby 2.7.5 이하
- Ruby 3.0.3 이하
- Ruby 3.1.1 이하
도움을 준 사람
이 문제를 발견해 준 piao에게 감사를 표합니다.
수정 이력
- 2022-04-12 12:00:00 (UTC) 최초 공개
최근 소식
Ruby 3.2.10 릴리스
Ruby 3.2.10이 릴리스되었습니다.
작성자: hsbt (2026-01-14)
Ruby 4.0.1 릴리스
Ruby 4.0.1이 릴리스되었습니다.
작성자: k0kubun (2026-01-13)
Ruby 4.0.0 릴리스
Ruby 4.0.0 릴리스를 알리게 되어 기쁩니다. Ruby 4.0은 “Ruby Box”와 “ZJIT”를 도입하고, 많은 개선을 추가합니다.
작성자: naruse (2025-12-25)
Ruby 문서의 새로운 모습
ruby-lang.org 재디자인에 이어, Ruby의 30주년을 기념하는 또 다른 소식을 전합니다. docs.ruby-lang.org가 RDoc의 새로운 기본 테마인 Aliki와 함께 완전히 새로운 모습으로 탈바꿈했습니다.
작성자: Stan Lo (2025-12-23)