작성자: mame (2021-04-05)
번역자: yous
Ruby에 포함된 REXML gem에 XML 왕복 변환(round-trip) 취약점이 있습니다. 이 취약점은 CVE 번호 CVE-2021-28965에 할당되었습니다. REXML gem을 업그레이드하시길 강력히 권합니다.
세부 내용
조작된 XML 문서를 파싱하고 직렬화할 때, (Ruby에 포함된 버전을 포함해서) REXML gem은 기존 문서와 다른 구조의 XML 문서를 생성할 수 있습니다. 이 문제로 받는 영향은 상황에 따라 다르지만, REXML을 사용하는 프로그램의 취약점으로 이어질 수 있습니다.
REXML gem을 3.2.5 버전 이상으로 업데이트하시기 바랍니다.
Ruby 2.6 이상을 사용한다면:
- Ruby 2.6.7, 2.7.3, 3.0.1을 사용하세요.
- 또는
gem update rexml을 사용해 이를 업데이트할 수 있습니다. bundler를 사용한다면,Gemfile에gem "rexml", ">= 3.2.5"를 추가하세요.
Ruby 2.5.8 이하를 사용한다면:
- Ruby 2.5.9를 사용하세요.
- Ruby 2.5.8 이하에서는
gem update rexml을 사용할 수 없습니다. - Ruby 2.5 버전대의 지원이 종료되었으니, Ruby 2.6.7 이상으로 가능한 한 빨리 업그레이드하시길 바랍니다.
해당 버전
- Ruby 2.5.8 이하 (이 버전에서는
gem update rexml을 할 수 없습니다.) - Ruby 2.6.6 이하
- Ruby 2.7.2 이하
- Ruby 3.0.0
- REXML gem 3.2.4 이하
도움을 준 사람
이 문제를 발견해 준 Juho Nurminen에게 감사를 표합니다.
수정 이력
- 2021-04-05 12:00:00 (UTC) 최초 공개