File tree 1 file changed +60
-0
lines changed
1 file changed +60
-0
lines changed Original file line number Diff line number Diff line change 1+ ---
2+ layout : news_post
3+ title : " RubyGems의 취약점 다수 발견"
4+ author : " usa"
5+ translator : " shia"
6+ date : 2018-02-17 03:00:00 +0000
7+ tags : security
8+ lang : ko
9+ ---
10+
11+ 루비 부가 라이브러리인 RubyGems의 취약점 다수가 발견되었습니다.
12+ [ RubyGems 공식 블로그] ( http://blog.rubygems.org/2018/02/15/2.7.6-released.html ) 에 보고되었습니다.
13+
14+ ## 세부 내용
15+
16+ 아래와 같은 취약점이 보고되었습니다.
17+
18+ * 최상위 디렉토리 외부에 걸려있는 심볼릭 링크에 쓰기를 수행할 때 경로 순회를 하지 않습니다.
19+ * 잼의 소유자의 안전하지 않은 객체 역직렬화 취약점을 수정합니다.
20+ * tar 헤더의 8진수 필드 해석이 엄격해집니다.
21+ * 패키지에 중복되는 파일이 존재하는 경우 보안 에러를 발생시킵니다.
22+ * spec의 homepage 속성의 URL 검증이 강화됩니다.
23+ * 젬 서버를 통해 보여지는 homepage 속성에 대한 XSS 취약점이 완화됩니다.
24+ * 젬 설치 중의 경로 순회 문제를 방지합니다.
25+
26+ 루비 사용자는 가능한 빨리 업그레이드하거나 아래 해결 방법으로 조치하기 바랍니다.
27+
28+ ## 해당 버전
29+
30+ * 루비 2.2 버전대: 2.2.9 이하
31+ * 루비 2.3 버전대: 2.3.6 이하
32+ * 루비 2.4 버전대: 2.4.3 이하
33+ * 루비 2.5 버전대: 2.5.0 이하
34+ * 리비전 62422 이전의 트렁크
35+
36+ ## 해결 방법
37+
38+ 루비를 업그레이드할 수 없는 상황이라면 RubyGems를 최신 버전으로 업그레이드하세요.
39+ RubyGems 2.7.6 이후 버전은 취약점을 보완하였습니다.
40+
41+ ```
42+ gem update --system
43+ ```
44+
45+ RubyGems를 업그레이드를 할 수 없다면, 차선책으로 다음 패치를 적용할 수 있습니다.
46+
47+ * [ 루비 2.2.9] ( https://bugs.ruby-lang.org/attachments/download/7030/rubygems-276-for-ruby22.patch )
48+ * [ 루비 2.3.6] ( https://bugs.ruby-lang.org/attachments/download/7029/rubygems-276-for-ruby23.patch )
49+ * [ 루비 2.4.3] ( https://bugs.ruby-lang.org/attachments/download/7028/rubygems-276-for-ruby24.patch )
50+ * [ 루비 2.5.0] ( https://bugs.ruby-lang.org/attachments/download/7027/rubygems-276-for-ruby25.patch )
51+
52+ 개발버전에 대하여는, 최신 리비전으로 업데이트합니다.
53+
54+ ## 도움을 준 글
55+
56+ 이 보고서는 [ RubyGems 공식 블로그] ( http://blog.rubygems.org/2018/02/15/2.7.6-released.html ) 를 바탕으로 하여 작성하였습니다.
57+
58+ ## 수정 이력
59+
60+ * 2018-02-17 12:00:00 (KST) 최초 공개
You can’t perform that action at this time.
0 commit comments