CVE-2023-28755: URI의 ReDoS 취약점
작성자: hsbt (2023-03-28)
번역자: marocchino
ReDoS 취약점에 대한 보안 수정이 포함된 uri gem 버전 0.12.1, 0.11.1, 0.10.2, 0.10.0.1을 릴리스했습니다. 이 취약점에는 CVE 식별자 CVE-2023-28755가 할당되었습니다.
세부 내용
URI 구성 요소에서 ReDoS 문제가 발견되었습니다. URI 구문 분석기가 특정 문자가 포함된 유효하지 않은 URL을 잘못 처리합니다. 이로 인해 URI 객체에 대한 문자열 구문 분석 실행 시간이 증가합니다.
uri gem의 0.12.0, 0.11.0, 0.10.1, 0.10.0과 모든 0.10.0 이하 버전이 이 취약점에 취약합니다.
권장 조치
uri gem을 0.12.1로 업데이트하는 것이 좋습니다. 이전 Ruby 버전대에 포함된 버전과의 호환성을 보장하기 위해 다음과 같이 업데이트할 수 있습니다.
- Ruby 2.7:
uri0.10.0.1로 업데이트 - Ruby 3.0:
uri0.10.2로 업데이트 - Ruby 3.1:
uri0.11.1로 업데이트 - Ruby 3.2:
uri0.12.1로 업데이트
gem update uri를 사용하여 업데이트할 수 있습니다. bundler를 사용하는 경우 gem "uri", ">= 0.12.1"(또는 위에 언급된 다른 버전)을 Gemfile에 추가하세요.
해당 버전
- uri gem 0.12.0
- uri gem 0.11.0
- uri gem 0.10.1
- uri gem 0.10.0과 그 이하
도움을 준 사람
이 문제를 발견해 준 Dominic Couture에게 감사를 표합니다.
수정 이력
- 2023-03-28 01:00:00 (UTC) 최초 공개
- 2023-03-28 02:00:00 (UTC) 해당 버전 수정
- 2023-03-28 04:00:00 (UTC) CVE 식별자 URL 업데이트
최근 소식
Ruby 3.4.8 릴리스
Ruby 3.4.8이 릴리스되었습니다.
작성자: k0kubun (2025-12-17)
Ruby 4.0.0 preview2 릴리스
Ruby 4.0.0-preview2 릴리스를 알리게 되어 기쁩니다. Ruby 4.0은 유니코드 버전을 17.0.0으로 업데이트했으며, 더 많은 것들이 있습니다.
작성자: naruse (2025-11-17)
Ruby 3.3.10 릴리스
Ruby 3.3.10이 릴리스되었습니다.
작성자: nagachika (2025-10-23)
RubyGems 저장소 소유권 이관
Ruby 커뮤니티 여러분께,
작성자: matz (2025-10-17)