작성자: hsbt (2023-03-28)
번역자: marocchino

ReDoS 취약점에 대한 보안 수정이 포함된 uri gem 버전 0.12.1, 0.11.1, 0.10.2, 0.10.0.1을 릴리스했습니다. 이 취약점에는 CVE 식별자 CVE-2023-28755가 할당되었습니다.

세부 내용

URI 구성 요소에서 ReDoS 문제가 발견되었습니다. URI 구문 분석기가 특정 문자가 포함된 유효하지 않은 URL을 잘못 처리합니다. 이로 인해 URI 객체에 대한 문자열 구문 분석 실행 시간이 증가합니다.

uri gem의 0.12.0, 0.11.0, 0.10.1, 0.10.0과 모든 0.10.0 이하 버전이 이 취약점에 취약합니다.

권장 조치

uri gem을 0.12.1로 업데이트하는 것이 좋습니다. 이전 Ruby 버전대에 포함된 버전과의 호환성을 보장하기 위해 다음과 같이 업데이트할 수 있습니다.

• Ruby 2.7: uri 0.10.0.1로 업데이트
• Ruby 3.0: uri 0.10.2로 업데이트
• Ruby 3.1: uri 0.11.1로 업데이트
• Ruby 3.2: uri 0.12.1로 업데이트

gem update uri를 사용하여 업데이트할 수 있습니다. bundler를 사용하는 경우 gem "uri", ">= 0.12.1"(또는 위에 언급된 다른 버전)을 Gemfile에 추가하세요.

해당 버전

• uri gem 0.12.0
• uri gem 0.11.0
• uri gem 0.10.1
• uri gem 0.10.0과 그 이하

도움을 준 사람

이 문제를 발견해 준 Dominic Couture에게 감사를 표합니다.

수정 이력

• 2023-03-28 01:00:00 (UTC) 최초 공개
• 2023-03-28 02:00:00 (UTC) 해당 버전 수정
• 2023-03-28 04:00:00 (UTC) CVE 식별자 URL 업데이트

구독

최근 소식(RSS)