작성자: usa (2018-03-28)
번역자: shia
루비에 내장된 WEBrick에서 공격자가 커다란 요청을 전송하는 것으로 메모리를 소비하도록 만들어 서비스 거부 공격을 가능하게 하는 취약점이 발견되었습니다. 이 취약점은 CVE 아이디 CVE-2018-8777로 할당되었습니다.
세부 내용
공격자가 커다란 HTTP 헤더를 포함하는 요청을 보내는 경우, WEBrick은 그 요청을 메모리 상에서 처리하려고 시도하기 때문에 메모리를 소비하여 서비스 거부 공격을 가능하게 합니다.
해당 버전을 사용하는 모든 사용자는 즉시 업그레이드하기 바랍니다.
해당 버전
- 루비 2.2 버전대: 2.2.9 이하
- 루비 2.3 버전대: 2.3.6 이하
- 루비 2.4 버전대: 2.4.3 이하
- 루비 2.5 버전대: 2.5.0 이하
- 루비 2.6 버전대: 2.6.0-preview1
- 리비전 62965 이전의 트렁크
도움을 준 사람
이 문제는 Eric Wong e@80x24.org이 보고했습니다.
수정 이력
- 2018-03-28 23:00:00 (KST) 최초 공개