CVE-2024-27282: 정규표현식 검색의 임의의 메모리 주소 읽기 취약점

작성자: hsbt (2024-04-23)
번역자: shia

정규표현식 검색의 임의의 메모리 주소 읽기 취약점에 대한 보안 수정을 포함하는 Ruby 3.0.7, 3.1.5, 3.2.4, 3.3.1을 릴리스했습니다. 이 취약점은 CVE 번호 CVE-2024-27282로 등록되어 있습니다.

세부 내용

Ruby 3.x부터 3.3.0까지 문제가 발견되었습니다.

공격자가 제공한 데이터가 Ruby 정규표현식 컴파일러에 제공되면, 텍스트 시작 지점과 관련된 임의의 힙 데이터를 추출할 수 있습니다. 여기에는 포인터와 민감한 문자열을 포함됩니다.

권장 조치

Ruby를 3.3.1이나 그 이상으로 업데이트하는 것이 좋습니다. 이전 Ruby 버전대에 포함된 버전과의 호환성을 보장하기 위해 다음과 같이 업데이트할 수 있습니다.

  • Ruby 3.0 사용자: 3.0.7로 업데이트
  • Ruby 3.1 사용자: 3.1.5로 업데이트
  • Ruby 3.2 사용자: 3.2.4로 업데이트
  • Ruby 3.3 사용자: 3.3.1로 업데이트

해당 버전

  • Ruby 3.0.6과 그 이하
  • Ruby 3.1.4와 그 이하
  • Ruby 3.2.3과 그 이하
  • Ruby 3.3.0

도움을 준 사람

이 문제를 발견해 준 sp2ip에게 감사를 표합니다.

수정 이력

  • 2024-04-23 10:00:00 (UTC) 최초 공개