ruby · yous · Nov 9, 2019 · Nov 8, 2019 · Nov 8, 2019
@@ -50,4 +50,4 @@ lang: ko
 
 이 릴리스를 만드는 데 도움을 준 모든 분에게 감사드립니다.
 
-이 릴리스를 포함한 루비 2.5의 유지보수는 Ruby Association의 "루비 안정 버전에 관한 협의"에 기반에 이루어집니다.
+이 릴리스를 포함한 루비 2.5의 유지보수는 Ruby Association의 "루비 안정 버전에 관한 협의"에 기반해 이루어집니다.
@@ -0,0 +1,40 @@
+---
+layout: news_post
+title: "CVE-2019-16255: Shell#[] 및 Shell#test의 코드 주입 취약점"
+author: "mame"
+translator: "yous"
+date: 2019-10-01 11:00:00 +0000
+tags: security
+lang: ko
+---
+
+표준 라이브러리(lib/shell.rb)의 Shell#[] 및 Shell#test에서 코드 주입 취약점이 발견되었습니다.
+이 취약점은 CVE 아이디 [CVE-2019-16255](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16255)가 할당되었습니다.
+
+## 세부 내용
+
+lib/shell.rb에 정의된 Shell#[]과 그 별칭 Shell#test는 첫 번째 인자(즉, '커맨드' 인자)가 신뢰할 수 없는 데이터일 경우 코드 주입을 허용하게 됩니다.
+공격자는 이를 악용해 임의의 루비 메서드를 호출할 수 있습니다.
+
+일반적으로 Shell의 메서드에 신뢰할 수 없는 데이터를 넘기는 것은 위험합니다.
+사용자는 절대 이러한 일을 해서는 안됩니다.
+하지만 이번 경우엔 Shell#[] 및 Shell#test의 목적이 파일 테스트라는 점을 고려해 취약점으로 분류했습니다.
+
+해당 버전을 사용하는 모든 사용자는 즉시 업그레이드하기 바랍니다.
+
+## 해당 버전
+
+* 루비 2.3 이하의 모든 버전
+* 루비 2.4 버전대: 루비 2.4.7 이하
+* 루비 2.5 버전대: 루비 2.5.6 이하
+* 루비 2.6 버전대: 루비 2.6.4 이하
+* 루비 2.7.0-preview1
+
+## 감사의 글
+
+이 문제를 발견해 준 [ooooooo_q](https://hackerone.com/ooooooo_q)에게 감사를 표합니다.
+
+## 수정 이력
+
+* 2019-10-01 11:00:00 (UTC) 최초 공개
+* 2019-10-05 12:00:00 (UTC) 사소한 철자 수정
@@ -0,0 +1,38 @@
+---
+layout: news_post
+title: "CVE-2019-16254: WEBrick의 HTTP 응답 분할 취약점(추가 수정)"
+author: "mame"
+translator: "yous"
+date: 2019-10-01 11:00:00 +0000
+tags: security
+lang: ko
+---
+
+루비에 포함된 WEBrick에 HTTP 응답 분할 취약점이 있습니다.
+이 취약점은 CVE 아이디 [CVE-2019-16254](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16254)가 할당되었습니다.
+
+## 세부 내용
+
+WEBrick을 사용하는 프로그램이 응답 헤더에 신뢰할 수 없는 입력을 삽입한다면, 공격자가 줄바꿈 문자를 넣어 헤더를 분할하고, 악의적인 내용을 주입해 클라이언트를 속일 수 있습니다.
+
+이 문제는 [CVE-2017-17742](https://www.ruby-lang.org/en/news/2018/03/28/http-response-splitting-in-webrick-cve-2017-17742/)와 동일합니다.
+이전 수정은 CRLF 벡터에 대해 대응했지만 따로 떨어진 CR과 LF에 대해서는 대응하지 않았습니다.
+
+해당 버전을 사용하는 모든 사용자는 즉시 업그레이드하기 바랍니다.
+
+## 해당 버전
+
+* 루비 2.3 이하의 모든 버전
+* 루비 2.4 버전대: 루비 2.4.7 이하
+* 루비 2.5 버전대: 루비 2.5.6 이하
+* 루비 2.6 버전대: 루비 2.6.4 이하
+* 루비 2.7.0-preview1
+* 3ce238b5f9795581eb84114dcfbdf4aa086bfecc 커밋 이전의 master
+
+## 감사의 글
+
+이 문제를 발견해 준 [znz](https://hackerone.com/znz)에게 감사를 표합니다.
+
+## 수정 이력
+
+* 2019-10-01 11:00:00 (UTC) 최초 공개
@@ -0,0 +1,38 @@
+---
+layout: news_post
+title: "CVE-2019-15845: File.fnmatch 및 File.fnmatch?의 NUL 주입 취약점"
+author: "mame"
+translator: "yous"
+date: 2019-10-01 11:00:00 +0000
+tags: security
+lang: ko
+---
+
+루비 빌트인 메서드(`File.fnmatch` 및 `File.fnmatch?`)의 NUL 주입 취약점이 발견되었습니다.
+경로 패턴 파라미터를 변경할 수 있는 공격자가 프로그램 저자의 의도에 반해 경로 매칭을 통과할 수 있도록 악용할 수 있습니다.
+이 취약점에 [CVE-2019-15845](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15845)가 할당되었습니다.
+
+## 세부 내용
+
+빌트인 메서드 `File.fnmatch`와 그 별칭 `File.fnmatch?`는 첫 번째 파라미터로 경로 패턴을 받습니다.
+패턴에 NUL 문자(`\0`)가 포함되었을 경우, 메서드는 NUL 바이트 직전에서 경로 패턴이 끝났다고 인식합니다.
+이 때문에 스크립트에서 외부 입력을 패턴 인자로 사용하면, 공격자가 두 번째 인자인 경로를 잘못 매칭되도록 만들 수 있습니다.
+
+해당 버전을 사용하는 모든 사용자는 즉시 업그레이드하기 바랍니다.
+
+## 해당 버전
+
+* 루비 2.3 이하의 모든 버전
+* 루비 2.4 버전대: 루비 2.4.7 이하
+* 루비 2.5 버전대: 루비 2.5.6 이하
+* 루비 2.6 버전대: 루비 2.6.4 이하
+* 루비 2.7.0-preview1
+* a0a2640b398cffd351f87d3f6243103add66575b 커밋 이전의 master
+
+## 감사의 글
+
+이 문제를 발견해 준 [ooooooo_q](https://hackerone.com/ooooooo_q)에게 감사를 표합니다.
+
+## 수정 이력
+
+* 2019-10-01 11:00:00 (UTC) 최초 공개
@@ -0,0 +1,60 @@
+---
+layout: news_post
+title: "루비 2.4.8 릴리스"
+author: "usa"
+translator: "yous"
+date: 2019-10-01 11:00:00 +0000
+lang: ko
+---
+
+루비 2.4.8이 릴리스되었습니다.
+
+이 릴리스는 보안 수정을 포함합니다.
+자세한 사항은 아래 글을 확인해보세요.
+
+* [CVE-2019-16255: Shell#[] 및 Shell#test의 코드 주입 취약점]({% link ko/news/_posts/2019-10-01-code-injection-shell-test-cve-2019-16255.md %})
+* [CVE-2019-16254: WEBrick의 HTTP 응답 분할 취약점(추가 수정)]({% link ko/news/_posts/2019-10-01-http-response-splitting-in-webrick-cve-2019-16254.md %})
+* [CVE-2019-15845: File.fnmatch 및 File.fnmatch?의 NUL 주입 취약점]({% link ko/news/_posts/2019-10-01-nul-injection-file-fnmatch-cve-2019-15845.md %})
+* [CVE-2019-16201: WEBrick Digest 인증의 정규 표현식 서비스 거부 취약점]({% link ko/news/_posts/2019-10-01-webrick-regexp-digestauth-dos-cve-2019-16201.md %})
+
+루비 2.4는 현재 보안 유지보수 단계이고, 기한은 2020년 3월입니다. 이날 이후 루비
+2.4의 유지보수는 종료됩니다. 루비 2.6, 2.5 등의 새 루비 버전으로 업그레이드할
+계획을 세우길 바랍니다.
+
+__업데이트(10월 2일 4:00 UTC):__ 루비 2.4.8의 릴리스 tarball이 _루트가 아닌_ 사용자에게 설치되지 않는 문제를 해결하고 있습니다. 자세한 업데이트는 [[Bug #16197]](https://bugs.ruby-lang.org/issues/16197)에서 받아보세요.
+
+## 다운로드
+
+{% assign release = site.data.releases | where: "version", "2.4.8" | first %}
+
+* <{{ release.url.bz2 }}>
+
+      SIZE: {{ release.size.bz2 }}
+      SHA1: {{ release.sha1.bz2 }}
+      SHA256: {{ release.sha256.bz2 }}
+      SHA512: {{ release.sha512.bz2 }}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## 릴리스 코멘트
+
+이 릴리스를 만드는 데 도움을 준 모든 분, 특히 취약점을 보고해준 분에게 감사드립니다.
@@ -0,0 +1,58 @@
+---
+layout: news_post
+title: "루비 2.5.7 릴리스"
+author: "usa"
+translator: "yous"
+date: 2019-10-01 11:00:00 +0000
+lang: ko
+---
+
+루비 2.5.7이 릴리스되었습니다.
+
+이 릴리스는 아래 보안 수정을 포함합니다.
+자세한 사항은 아래 글을 확인해보세요.
+
+* [CVE-2019-16255: Shell#[] 및 Shell#test의 코드 주입 취약점]({% link ko/news/_posts/2019-10-01-code-injection-shell-test-cve-2019-16255.md %})
+* [CVE-2019-16254: WEBrick의 HTTP 응답 분할 취약점(추가 수정)]({% link ko/news/_posts/2019-10-01-http-response-splitting-in-webrick-cve-2019-16254.md %})
+* [CVE-2019-15845: File.fnmatch 및 File.fnmatch?의 NUL 주입 취약점]({% link ko/news/_posts/2019-10-01-nul-injection-file-fnmatch-cve-2019-15845.md %})
+* [CVE-2019-16201: WEBrick Digest 인증의 정규 표현식 서비스 거부 취약점]({% link ko/news/_posts/2019-10-01-webrick-regexp-digestauth-dos-cve-2019-16201.md %})
+
+자세한 내용은 [커밋 로그](https://github.com/ruby/ruby/compare/v2_5_6...v2_5_7)를 확인해주세요.
+
+## 다운로드
+
+{% assign release = site.data.releases | where: "version", "2.5.7" | first %}
+
+* <{{ release.url.bz2 }}>
+
+      SIZE: {{ release.size.bz2 }}
+      SHA1: {{ release.sha1.bz2 }}
+      SHA256: {{ release.sha256.bz2 }}
+      SHA512: {{ release.sha512.bz2 }}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## 릴리스 코멘트
+
+이 릴리스를 만드는 데 도움을 준 모든 분에게 감사드립니다.
+
+이 릴리스를 포함한 루비 2.5의 유지보수는 Ruby Association의 "루비 안정 버전에 관한 협의"에 기반해 이루어집니다.
@@ -0,0 +1,57 @@
+---
+layout: news_post
+title: "루비 2.6.5 릴리스"
+author: "nagachika"
+translator: "yous"
+date: 2019-10-01 11:00:00 +0000
+lang: ko
+---
+
+루비 2.6.5가 릴리스되었습니다.
+
+이 릴리스는 보안 수정을 포함합니다.
+자세한 사항은 아래 글을 확인해보세요.
+
+* [CVE-2019-16255: Shell#[] 및 Shell#test의 코드 주입 취약점]({% link ko/news/_posts/2019-10-01-code-injection-shell-test-cve-2019-16255.md %})
+* [CVE-2019-16254: WEBrick의 HTTP 응답 분할 취약점(추가 수정)]({% link ko/news/_posts/2019-10-01-http-response-splitting-in-webrick-cve-2019-16254.md %})
+* [CVE-2019-15845: File.fnmatch 및 File.fnmatch?의 NUL 주입 취약점]({% link ko/news/_posts/2019-10-01-nul-injection-file-fnmatch-cve-2019-15845.md %})
+* [CVE-2019-16201: WEBrick Digest 인증의 정규 표현식 서비스 거부 취약점]({% link ko/news/_posts/2019-10-01-webrick-regexp-digestauth-dos-cve-2019-16201.md %})
+
+자세한 내용은 [커밋 로그](https://github.com/ruby/ruby/compare/v2_6_4...v2_6_5)를 확인해주세요.
+
+## 다운로드
+
+{% assign release = site.data.releases | where: "version", "2.6.5" | first %}
+
+* <{{ release.url.bz2 }}>
+
+      SIZE: {{ release.size.bz2 }}
+      SHA1: {{ release.sha1.bz2 }}
+      SHA256: {{ release.sha256.bz2 }}
+      SHA512: {{ release.sha512.bz2 }}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## 릴리스 코멘트
+
+많은 커미터, 개발자, 버그를 신고해준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다.
+그들의 기여에 감사드립니다.
@@ -0,0 +1,33 @@
+---
+layout: news_post
+title: "CVE-2019-16201: WEBrick Digest 인증의 정규 표현식 서비스 거부 취약점"
+author: "mame"
+translator: "yous"
+date: 2019-10-01 11:00:00 +0000
+tags: security
+lang: ko
+---
+
+WEBrick의 Digest 인증 모듈에서 정규 표현식 서비스 거부 취약점이 발견되었습니다.
+공격자는 이를 악용해 WEBrick 서비스에 대해 서비스 거부 공격을 할 수 있습니다.
+
+이 취약점에 [CVE-2019-16201](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16201)이 할당되었습니다.
+
+해당 버전을 사용하는 모든 사용자는 즉시 업그레이드하기 바랍니다.
+
+## 해당 버전
+
+* 루비 2.3 이하의 모든 버전
+* 루비 2.4 버전대: 루비 2.4.7 이하
+* 루비 2.5 버전대: 루비 2.5.6 이하
+* 루비 2.6 버전대: 루비 2.6.4 이하
+* 루비 2.7.0-preview1
+* 36e057e26ef2104bc2349799d6c52d22bb1c7d03 커밋 이전의 master
+
+## 감사의 글
+
+이 문제를 발견해 준 [358](https://hackerone.com/358)에게 감사를 표합니다.
+
+## 수정 이력
+
+* 2019-10-01 11:00:00 (UTC) 최초 공개
Original file line number	Diff line number	Diff line change
Expand Up		@@ -50,4 +50,4 @@ lang: ko

		이 릴리스를 만드는 데 도움을 준 모든 분에게 감사드립니다.

		이 릴리스를 포함한 루비 2.5의 유지보수는 Ruby Association의 "루비 안정 버전에 관한 협의"에 기반에 이루어집니다.
		이 릴리스를 포함한 루비 2.5의 유지보수는 Ruby Association의 "루비 안정 버전에 관한 협의"에 기반해 이루어집니다.