diff --git a/ko/news/_posts/2017-10-10-ruby-2-5-0-preview1-released.md b/ko/news/_posts/2017-10-10-ruby-2-5-0-preview1-released.md index 0c8d34dc32..faf6269143 100644 --- a/ko/news/_posts/2017-10-10-ruby-2-5-0-preview1-released.md +++ b/ko/news/_posts/2017-10-10-ruby-2-5-0-preview1-released.md @@ -28,7 +28,7 @@ lang: ko * Onigmo를 6.1.1로 병합했습니다. [absence operator](https://github.com/k-takata/Onigmo/issues/87)를 추가했습니다. 루비 2.4.1은 이미 이 사항을 포함하였습니다. -* 번들러를 표준 라이브러리로 병합했습니다. +* bundler를 표준 라이브러리로 병합했습니다. * rubygems-2.6.13 병합했습니다. * rdoc-6.0.0.beta2 병합했습니다. IRB 구문 분석기를 Ripper로 교체, diff --git a/ko/news/_posts/2020-09-29-http-request-smuggling-cve-2020-25613.md b/ko/news/_posts/2020-09-29-http-request-smuggling-cve-2020-25613.md index a2de1385f7..467228927f 100644 --- a/ko/news/_posts/2020-09-29-http-request-smuggling-cve-2020-25613.md +++ b/ko/news/_posts/2020-09-29-http-request-smuggling-cve-2020-25613.md @@ -18,7 +18,7 @@ WEBrick은 유효하지 않은 Transfer-Encoding 헤더에 너무 관대했습 이는 WEBrick과 몇몇 HTTP 프록시 서버들 사이에서 해석 불일치를 유발해 공격자가 어떤 요청을 몰래 끼워넣을 수 있도록 합니다. 자세한 설명은 [CWE-444](https://cwe.mitre.org/data/definitions/444.html)를 참고하세요. -webrick 젬을 1.6.1 이상으로 업그레이드하기 바랍니다. 업그레이드하려면 `gem update webrick` 명령을 사용하세요. 만약 번들러를 사용하고 있다면 `Gemfile`에 `gem "webrick", ">= 1.6.1"`을 추가하세요. +webrick 젬을 1.6.1 이상으로 업그레이드하기 바랍니다. 업그레이드하려면 `gem update webrick` 명령을 사용하세요. 만약 bundler를 사용하고 있다면 `Gemfile`에 `gem "webrick", ">= 1.6.1"`을 추가하세요. ## 해당 버전 diff --git a/ko/news/_posts/2022-04-03-ruby-3-2-0-preview1-released.md b/ko/news/_posts/2022-04-03-ruby-3-2-0-preview1-released.md index 894126f4c4..2ddadf9069 100644 --- a/ko/news/_posts/2022-04-03-ruby-3-2-0-preview1-released.md +++ b/ko/news/_posts/2022-04-03-ruby-3-2-0-preview1-released.md @@ -137,7 +137,7 @@ long_time_re =~ "a" * 50000 + "x" # 타임아웃이 발생하지 않습니다. * 미정 -* 다음 기본 gem은 이제 내장 gem이 됩니다. 사용하려면 번들러 환경에서 `Gemfile`에 다음 라이브러리들을 추가해야 합니다. +* 다음 기본 gem은 이제 내장 gem이 됩니다. 사용하려면 bundler 환경에서 `Gemfile`에 다음 라이브러리들을 추가해야 합니다. * 미정 diff --git a/ko/news/_posts/2023-03-30-redos-in-time-cve-2023-28756.md b/ko/news/_posts/2023-03-30-redos-in-time-cve-2023-28756.md new file mode 100644 index 0000000000..58e21cdc68 --- /dev/null +++ b/ko/news/_posts/2023-03-30-redos-in-time-cve-2023-28756.md @@ -0,0 +1,43 @@ +--- +layout: news_post +title: "CVE-2023-28756: Time의 ReDoS 취약점" +author: "hsbt" +translator: "marocchino" +date: 2023-03-30 11:00:00 +0000 +tags: security +lang: ko +--- + +Time gem 0.1.1, 0.2.2 버전에 ReDoS 취약점에 대한 보안 수정이 적용된 버전이 출시되었습니다. +이 취약점에는 CVE 식별자 [CVE-2023-28756](https://www.cve.org/CVERecord?id=CVE-2023-28756)이 할당되었습니다. + +## 세부 내용 + +Time 구문 분석기가 특정 문자가 포함된 유효하지 않은 문자열을 잘못 처리합니다. 이로 인해 문자열을 Time 객체로 구문 분석할 때 실행 시간이 늘어납니다. + +Time gem 0.1.0, 0.2.1, Ruby 2.7.7의 Time 라이브러리에서 ReDoS 문제가 발견되었습니다. + +## 권장 조치 + +Time gem을 0.2.2 버전 이상으로 업데이트하는 것이 좋습니다. 이전 Ruby 버전대에서는 동봉된 버전과의 호환성을 보장하기 위해 다음과 같이 업데이트할 수 있습니다. + +* Ruby 3.0 사용자의 경우: `time` 0.1.1로 업데이트 +* Ruby 3.1/3.2 사용자의 경우: `time` 0.2.2로 업데이트 + +`gem update time`을 사용하여 업데이트할 수 있습니다. bundler를 사용 중이라면 `gem "time", ">= 0.2.2"`를 `Gemfile`에 추가해 주세요. + +안타깝게도 Time gem은 Ruby 3.0 이상에서만 작동합니다. Ruby 2.7을 사용 중이라면 최신 버전의 Ruby를 사용하시기 바랍니다. + +## 해당 버전 + +* Ruby 2.7.7 이하 +* time gem 0.1.0 +* time gem 0.2.1 + +## 도움을 준 사람 + +이 문제를 발견해 주신 [ooooooo_q](https://hackerone.com/ooooooo_q?type=user)에게 감사드립니다. + +## 수정 이력 + +* 2023-03-30 11:00:00 (UTC) 최초 공개