루비 2.5.1 릴리스
루비 2.5.1이 릴리스 되었습니다.
작성자: naruse (2018-03-28)
루비 2.2.10 릴리스
루비 2.2.10이 릴리스 되었습니다. 이번 릴리스는 다수의 보안 수정을 포함합니다. 세부 내용은 아래 주제를 확인해주세요.
작성자: usa (2018-03-28)
CVE-2018-6914: tempfile, tmpdir에서 디렉터리 순회를 동반하는 의도하지 않은 파일, 또는 디렉터리 생성 취약점
루비에 내장된 라이브러리인 tmpdir에서 의도하지 않은 디렉터리를 생성하는 취약점이 발견되었습니다. 또한 내부에서 tmpdir를 사용하는 루비에 내장된 tempfile 라이브러리에서도 의도하지 않은 파일 생성 취약점이 발견되었습니다. 이 취약점은 CVE 아이디 CVE-2018-6914로 할당되었습니다.
작성자: usa (2018-03-28)
CVE-2018-8779: UNIXServer, UNIXSocket에서 NUL 문자 삽입을 통한 의도치 않은 소켓 생성 취약점
루비에 내장되어 있는 소켓 라이브러리의 UNIXServer.open 메서드를 사용하여 의도치 않은 소켓을 생성할 수 있는 취약점이 발견되었습니다.
그리고 UNIXSocket.open 메서드에서는 의도치 않은 소켓 접근을 할 수 있는 취약점이 발견되었습니다.
이 취약점은 CVE 아이디 CVE-2018-8779로 할당되었습니다.
작성자: usa (2018-03-28)
CVE-2018-8780: Dir에서 NUL 문자 주입을 통한 의도하지 않은 디렉터리 접근 취약점
Dir의 몇몇 메서드에서 디렉터리 명으로 넘겨진 인수 문자열에 NUL 문자를 삽입하는 것으로, 의도하지 않은 디렉터리에 접근할 수 있는 취약점이 발견되었습니다.
이 취약점은 CVE 아이디 CVE-2018-8780으로 할당되었습니다.
작성자: usa (2018-03-28)
CVE-2018-8777: WEBrick의 커다란 요청을 통한 서비스 거부 공격 취약점
루비에 내장된 WEBrick에서 공격자가 커다란 요청을 전송하는 것으로 메모리를 소비하도록 만들어 서비스 거부 공격을 가능하게 하는 취약점이 발견되었습니다. 이 취약점은 CVE 아이디 CVE-2018-8777로 할당되었습니다.
작성자: usa (2018-03-28)
CVE-2017-17742: WEBrick의 HTTP 응답 위장 취약점
루비에 포함된 WEBrick에서 공격자가 가짜 HTTP 응답을 생성할 수 있는 취약점이 발견되었습니다. 이 취약점은 CVE 아이디 CVE-2017-17742로 할당되었습니다.
작성자: usa (2018-03-28)
CVE-2018-8778: String#unpack의 범위 외 읽기 취약점
루비의 String#unpack 메서드에서 공격자가 배열 범위 바깥을 읽을 수 있는 취약점이 발견되었습니다.
이 취약점은 CVE 아이디 CVE-2018-8778로 할당되었습니다.
작성자: usa (2018-03-28)