작성자: aycabta (2021-05-02)
번역자: yous
Ruby에 포함된 RDoc에 명령 주입 취약점이 있습니다. 문제 해결을 위해 모든 Ruby 사용자는 RDoc을 최신 버전으로 업데이트하시기 바랍니다.
세부 내용
다음 취약점이 보고되었습니다.
RDoc은 로컬 파일을 열기 위해 Kernel#open을 호출했습니다. Ruby 프로젝트에 |로 시작하고 tags로 끝나는 이름을 가진 파일이 있다면, 파이프 문자 뒤의 명령이 실행되었습니다. 악의적인 Ruby 프로젝트가 rdoc 명령을 실행하려고 하는 사용자에 대해 임의의 명령을 실행할 수 있습니다.
이 문제에 영향을 받는 RDoc 버전을 사용 중인 Ruby 사용자는 RDoc을 최신 버전으로 업데이트해야 합니다.
해당 버전
- RDoc 3.11 이상 6.3.0 이하
업데이트 방법
취약점 해결을 위해 RDoc을 최신 버전(6.3.1 이상)으로 업데이트하려면 다음 명령을 실행하세요.
gem install rdoc
bundler를 사용한다면 Gemfile에 gem "rdoc", ">= 6.3.1"을 추가하세요.
도움을 준 사람
이 문제를 보고해 준 Alexandr Savca에게 감사를 표합니다.
수정 이력
- 2021-05-02 09:00:00 UTC 최초 공개