작성자: mame (2020-03-19)
번역자: yous
루비에 포함된 json 젬에 안전하지 않은 객체 생성 취약점이 있습니다. 이 취약점에 CVE-2020-10663이 할당되었습니다. json 젬을 업그레이드하는 것을 강력히 권장합니다.
세부 내용
특정 JSON 문서를 파싱할 때, json 젬(루비에 포함된 젬을 포함해서)이 대상 시스템에 임의의 객체를 생성하도록 강요될 수 있습니다.
이는 CVE-2013-0269와
같은 문제입니다. 이전 수정이 완전하지 않아서 JSON.parse(user_input)는 고쳤지만
JSON(user_input)과 JSON.parse(user_input, nil)을 포함한 다른 유형의 JSON
파싱은 고치지 않았습니다.
자세한 내용은 CVE-2013-0269를 참조하세요. 이 문제는 가비지 컬렉션이 불가능한 Symbol 객체를 다수 생성하여 서비스 거부 공격(DoS)을 일으키도록 공격할 수 있었습니다. 하지만 Symbol 객체가 가비지 컬렉션이 가능해져서 이런 유형의 공격은 더 이상 가능하지 않습니다.
json 젬을 2.3.0 이후 버전으로 업데이트해주세요. gem update json으로 업데이트할
수 있습니다. bundler를 사용한다면 Gemfile에 gem "json", ">= 2.3.0"을
추가하세요.
해당 버전
- JSON 젬 2.2.0 이하
도움을 준 사람
이 문제를 발견해 준 Jeremy Evans에게 감사를 표합니다.
수정 이력
- 2020-03-19 13:00:00 (UTC) 최초 공개