ruby · marocchino · Oct 4, 2020 · Oct 3, 2020 · Oct 3, 2020 · Oct 4, 2020
@@ -0,0 +1,38 @@
+---
+layout: news_post
+title: "CVE-2020-10933: 소켓 라이브러리의 힙 메모리 노출 취약점"
+author: "mame"
+translator: "yous"
+date: 2020-03-31 12:00:00 +0000
+tags: security
+lang: ko
+---
+
+소켓 라이브러리에서 힙 메모리 노출 취약점이 발견되었습니다.
+이 취약점에 [CVE-2020-10933](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10933)이 할당되었습니다.
+루비를 업그레이드하는 것을 강력히 권장합니다.
+
+## 세부 내용
+
+`BasicSocket#recv_nonblock`과 `BasicSocket#read_nonblock`이 크기와 버퍼 인자와
+함께 호출되었을 때, 버퍼를 지정한 크기로 재조정합니다. 작업이 블로킹될 것 같으면
+아무 데이터도 복사하지 않고 반환합니다. 이 때문에 버퍼 문자열은 힙의 임의의
+데이터를 포함하고 있고, 인터프리터의 민감한 데이터가 노출될 수 있습니다.
+
+이 문제는 Linux에서만 공격 가능합니다. 루비 2.5.0부터 존재한 문제고, 2.4
+버전대는 취약하지 않습니다.
+
+## 해당 버전
+
+* 루비 2.5 버전대: 2.5.7 이하
+* 루비 2.6 버전대: 2.6.5 이하
+* 루비 2.7 버전대: 2.7.0
+* 61b7f86248bd121be2e83768be71ef289e8e5b90 커밋 전의 master
+
+## 도움을 준 사람
+
+이 문제를 발견해 준 Samuel Williams에게 감사를 표합니다.
+
+## 수정 이력
+
+* 2020-03-31 12:00:00 (UTC) 최초 공개