ruby · yous · Jun 1, 2022 · May 29, 2022 · May 29, 2022 · May 29, 2022
@@ -1,6 +1,6 @@
 ---
 layout: news_post
-title: "CVE-2021-28965: REXML에서 XML 왕복 변환(round-trip) 취약점"
+title: "CVE-2021-28965: REXML의 XML 왕복 변환(round-trip) 취약점"
 author: "mame"
 translator: "yous"
 date: 2021-04-05 12:00:00 +0000

@@ -1,6 +1,6 @@
 ---
 layout: news_post
-title: "CVE-2021-31799: A command injection vulnerability in RDoc"
+title: "CVE-2021-31799: RDoc의 명령 주입 취약점"
 author: "aycabta"
 translator: "yous"
 date: 2021-05-02 09:00:00 +0000

@@ -0,0 +1,61 @@
+---
+layout: news_post
+title: "Ruby 2.6.8 릴리스"
+author: "usa"
+translator: "yous"
+date: 2021-07-07 09:00:00 +0000
+lang: ko
+---
+
+Ruby 2.6.8이 릴리스되었습니다.
+
+이 릴리스는 보안 수정을 포함합니다.
+자세한 사항은 아래 글을 확인해보세요.
+
+* [CVE-2021-31810: Net::FTP의 FTP PASV 응답 신뢰 취약점]({%link en/news/_posts/2021-07-07-trusting-pasv-responses-in-net-ftp.md %})
+* [CVE-2021-32066: Net::IMAP의 StartTLS 스트립 취약점]({%link en/news/_posts/2021-07-07-starttls-stripping-in-net-imap.md %})
+* [CVE-2021-31799: RDoc의 명령 주입 취약점]({%link en/news/_posts/2021-05-02-os-command-injection-in-rdoc.md %})
+
+Ruby 2.6은 보안 수정 외에는 수정하지 않지만, 이 릴리스는 몇 가지 회귀 버그와 빌드 문제 수정을 포함하고 있습니다.
+자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v2_6_7...v2_6_8)를 확인해주세요.
+
+Ruby 2.6은 현재 보안 유지보수 단계이고, 기한은 2022년 3월입니다.
+이날 이후 Ruby 2.6의 유지보수는 종료됩니다.
+Ruby 3.0, 2.7 등의 새 루비 버전으로 업그레이드할 계획을 세우기 바랍니다.
+
+## 다운로드
+
+{% assign release = site.data.releases | where: "version", "2.6.8" | first %}
+
+* <{{ release.url.bz2 }}>
+
+      SIZE: {{ release.size.bz2 }}
+      SHA1: {{ release.sha1.bz2 }}
+      SHA256: {{ release.sha256.bz2 }}
+      SHA512: {{ release.sha512.bz2 }}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## 릴리스 코멘트
+
+많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다.
+그들의 기여에 감사드립니다.
@@ -0,0 +1,58 @@
+---
+layout: news_post
+title: "Ruby 2.7.4 릴리스"
+author: "usa"
+translator: "yous"
+date: 2021-07-07 09:00:00 +0000
+lang: ko
+---
+
+Ruby 2.7.4가 릴리스되었습니다.
+
+이 릴리스는 보안 수정을 포함합니다.
+자세한 사항은 아래 글을 확인해보세요.
+
+* [CVE-2021-31810: Net::FTP의 FTP PASV 응답 신뢰 취약점]({%link ko/news/_posts/2021-07-07-trusting-pasv-responses-in-net-ftp.md %})
+* [CVE-2021-32066: Net::IMAP의 StartTLS 스트립 취약점]({%link ko/news/_posts/2021-07-07-starttls-stripping-in-net-imap.md %})
+* [CVE-2021-31799: RDoc의 명령 주입 취약점]({%link ko/news/_posts/2021-05-02-os-command-injection-in-rdoc.md %})
+
+자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v2_7_3...v2_7_4)를 확인해주세요.
+
+## 다운로드
+
+{% assign release = site.data.releases | where: "version", "2.7.4" | first %}
+
+* <{{ release.url.bz2 }}>
+
+      SIZE: {{ release.size.bz2 }}
+      SHA1: {{ release.sha1.bz2 }}
+      SHA256: {{ release.sha256.bz2 }}
+      SHA512: {{ release.sha512.bz2 }}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## 릴리스 코멘트
+
+많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다.
+그들의 기여에 감사드립니다.
+
+이 릴리스를 포함한 Ruby 2.7의 유지보수는 Ruby Association의 "Ruby 안정 버전에 관한 협의"에 기반해 이루어집니다.
@@ -0,0 +1,49 @@
+---
+layout: news_post
+title: "Ruby 3.0.2 릴리스"
+author: "nagachika"
+translator: "yous"
+date: 2021-07-07 09:00:00 +0000
+lang: ko
+---
+
+Ruby 3.0.2가 릴리스되었습니다.
+
+이 릴리스는 보안 수정을 포함합니다.
+자세한 사항은 아래 글을 확인해보세요.
+
+* [CVE-2021-31810: Net::FTP의 FTP PASV 응답 신뢰 취약점]({%link ko/news/_posts/2021-07-07-trusting-pasv-responses-in-net-ftp.md %})
+* [CVE-2021-32066: Net::IMAP의 StartTLS 스트립 취약점]({%link ko/news/_posts/2021-07-07-starttls-stripping-in-net-imap.md %})
+* [CVE-2021-31799: RDoc의 명령 주입 취약점]({%link ko/news/_posts/2021-05-02-os-command-injection-in-rdoc.md %})
+
+자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v3_0_1...v3_0_2)를 확인해주세요.
+
+## 다운로드
+
+{% assign release = site.data.releases | where: "version", "3.0.2" | first %}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## 릴리스 코멘트
+
+많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다.
+그들의 기여에 감사드립니다.
@@ -0,0 +1,35 @@
+---
+layout: news_post
+title: "CVE-2021-32066: Net::IMAP의 StartTLS 스트립 취약점"
+author: "shugo"
+translator: "yous"
+date: 2021-07-07 09:00:00 +0000
+tags: security
+lang: ko
+---
+
+Net::IMAP에서 StartTLS 스트립 취약점이 발견되었습니다.
+이 취약점은 CVE 번호 [CVE-2021-32066](https://nvd.nist.gov/vuln/detail/CVE-2021-32066)에 할당되었습니다.
+Ruby를 업그레이드하시길 강력히 권합니다.
+
+net-imap은 Ruby 3.0.1의 기본 gem이지만, 패키징 문제가 있으므로 Ruby 자체를 업그레이드하시기 바랍니다.
+
+## 세부 내용
+
+Net::IMAP은 StartTLS가 알 수 없는 응답과 함께 실패할 경우 예외를 발생시키지 않는데,
+이는 중간자(man-in-the-middle) 공격자가 TLS 보호를 우회할 수 있도록 합니다.
+일명 'StartTLS 스트립 공격'으로, 클라이언트와 레지스트리 사이에서 네트워크 위치를 이용해 StartTLS 명령을 차단합니다.
+
+## 해당 버전
+
+* Ruby 2.6 버전대: 2.6.7 이하
+* Ruby 2.7 버전대: 2.7.3 이하
+* Ruby 3.0 버전대: 3.0.1 이하
+
+## 도움을 준 사람
+
+이 문제를 보고해 준 [Alexandr Savca](https://hackerone.com/chinarulezzz)에게 감사를 표합니다.
+
+## 수정 이력
+
+* 2021-07-07 09:00:00 UTC 최초 공개
@@ -0,0 +1,35 @@
+---
+layout: news_post
+title: "CVE-2021-31810: Net::FTP의 FTP PASV 응답 신뢰 취약점"
+author: "shugo"
+translator: "yous"
+date: 2021-07-07 09:00:00 +0000
+tags: security
+lang: ko
+---
+
+Net::FTP에서 FTP PASV 응답 신뢰 취약점이 발견되었습니다.
+이 취약점에 CVE 번호 [CVE-2021-31810](https://nvd.nist.gov/vuln/detail/CVE-2021-31810)이 할당되었습니다.
+Ruby를 업그레이드하시길 강력히 권합니다.
+
+net-ftp는 Ruby 3.0.1의 기본 gem이지만, 패키징 문제가 있으므로 Ruby 자체를 업그레이드하시기 바랍니다.
+
+## 세부 내용
+
+악의적인 FTP 서버에서 PASV 응답을 사용해 Net::FTP를 속여 주어진 IP 주소와 포트로 연결해 오도록 할 수 있습니다.
+이를 통해 Net::FTP가 공개되지 않은 서비스의 정보를 추출하도록 할 수 있습니다.
+(예를 들어, 공격자가 포트 스캔을 하거나 서비스 배너를 추출할 수 있습니다.)
+
+## 해당 버전
+
+* Ruby 2.6 버전대: 2.6.7 이하
+* Ruby 2.7 버전대: 2.7.3 이하
+* Ruby 3.0 버전대: 3.0.1 이하
+
+## 도움을 준 사람
+
+이 문제를 보고해 준 [Alexandr Savca](https://hackerone.com/chinarulezzz)에게 감사를 표합니다.
+
+## 수정 이력
+
+* 2021-07-07 09:00:00 UTC 최초 공개