Merge pull request #3414 from teeta32/translate-redos-rexml-cve-2024-49761-ja

JuanitoFatas · web-flow · commit 4b2167be8096 · 2024-12-02T20:24:51.000+09:00
Translate 2024-10-28 ReDoS Rexml CVE news (ja)
diff --git a/ja/news/_posts/2024-10-28-redos-rexml-cve-2024-49761.md b/ja/news/_posts/2024-10-28-redos-rexml-cve-2024-49761.md
@@ -0,0 +1,33 @@
+---
+layout: news_post
+title: "CVE-2024-49761: REXML の ReDoS 脆弱性"
+author: "kou"
+translator: "teeta32"
+date: 2024-10-28 03:00:00 +0000
+tags: security
+lang: ja
+---
+
+REXML gem に ReDoS 脆弱性が発見されました。この脆弱性は [CVE-2024-49761](https://www.cve.org/CVERecord?id=CVE-2024-49761) として登録されています。REXML gem のアップグレードを強く推奨します。
+
+この脆弱性は Ruby 3.2 以降では発生しません。メンテナンスされている Ruby では Ruby 3.1 だけが本脆弱性の影響を受けます。Ruby 3.1 は 2025 年 3 月に EOL となることに注意してください。
+
+## 詳細
+
+以下のような XML※をパースするときに ReDoS 脆弱性が存在します。
+
+※16 進数の数値文字参照 (&#x...;) の &# と x...; の間に多くの数字を含む XML
+
+REXML gem を 3.3.9 以上にアップデートしてください。
+
+## 影響を受けるバージョン
+
+* Ruby 3.1 以前で REXML gem 3.3.8 以前を利用する場合
+
+## クレジット
+
+* この脆弱性情報は、[manun](https://hackerone.com/manun) 氏によって報告されました。
+
+## 更新履歴
+
+* 2024-10-28 12:00:00 (JST) 初版
