작성자: mame (2022-04-12)
번역자: shia
정규표현식 컴파일 중에 중복 할당 해제 취약점이 발견되었습니다. 이 취약점은 CVE 번호 CVE-2022-28738로 등록되었습니다. Ruby를 갱신하는 것을 강력히 권장합니다.
세부 내용
정규표현식 컴파일 처리의 버그로 인해, 특정 조건을 만족하는 문자열을 사용해 Regexp 객체를 생성하면 같은 메모리를 두 번 할당 해제할 가능성이 있습니다. 이는 “중복 할당 해제” 취약점으로 알려져 있습니다. 일반적으로는 신뢰할 수 없는 입력으로부터 정규표현식을 생성하는 것은 안전하지 않다고 여겨집니다. 하지만 이번 문제의 경우 종합적으로 판단한 결과, 취약점으로서 취급하기로 했습니다.
Ruby를 3.0.4, 3.1.2로 갱신해 주세요.
해당 버전
- Ruby 3.0.3 이하
- Ruby 3.1.1 이하
Ruby 2.6과 2.7 버전대는 영향을 받지 않습니다.
도움을 준 사람
이 문제를 발견해 준 piao에게 감사를 표합니다.
수정 이력
- 2022-04-12 12:00:00 (UTC) 최초 공개