ruby · riseshia · Jan 10, 2023 · Jan 1, 2023 · Jan 2, 2023 · Jan 2, 2023
@@ -0,0 +1,36 @@
+---
+layout: news_post
+title: "CVE-2021-41816: CGI.escape_html에서의 버퍼 오버런"
+author: "mame"
+translator: "shia"
+date: 2021-11-24 12:00:00 +0000
+tags: security
+lang: ko
+---
+
+CGI.escape_html에서 버퍼 오버런 취약점이 발견되었습니다.
+이 취약점은 CVE 번호 [CVE-2021-41816](https://nvd.nist.gov/vuln/detail/CVE-2021-41816)으로 등록되었습니다.
+Ruby를 갱신하는 것을 강력히 권장합니다.
+
+## 세부 내용
+
+이 보안 취약점은 `long` 타입으로 4바이트를 받는, Windows 등의 환경에서 `CGI.escape_html`에 700MB 이상의 매우 긴 문자열을 넘길 경우 버퍼 오버플로를 발생시킵니다.
+
+cgi gem의 버전을 0.3.1, 0.2.1, 0.1.1 또는 그 이상의 버전으로 갱신해 주세요. `gem update cgi` 명령으로 갱신할 수 있습니다. Bundler를 사용하고 있다면, `Gemfile`에 `gem "cgi", ">= 0.3.1"`를 추가해 주세요.
+또는 Ruby를 2.7.5나 3.0.3으로 갱신해 주세요.
+
+이 문제는 Ruby 2.7에서 발생했으므로, Ruby 2.6에 내장되어있는 cgi 버전은 영향을 받지 않습니다.
+
+## 해당 버전
+
+* cgi gem 0.1.0 이하(Ruby 2.7.5 이하에 내장된 버전)
+* cgi gem 0.2.0 이하(Ruby 3.0.3 이하에 내장된 버전)
+* cgi gem 0.3.0 이하
+
+## 도움을 준 사람
+
+이 문제를 발견해 준 [chamal](https://hackerone.com/chamal)에게 감사를 표합니다.
+
+## 수정 이력
+
+* 2021-11-24 12:00:00 (UTC) 최초 공개
@@ -0,0 +1,47 @@
+---
+layout: news_post
+title: "CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장"
+author: "mame"
+translator: "shia"
+date: 2021-11-24 12:00:00 +0000
+tags: security
+lang: ko
+---
+
+CGI::Cookie.parse에서 쿠키 접두사 위장 취약점이 발견되었습니다.
+이 취약점은 CVE 번호 [CVE-2021-41819](https://nvd.nist.gov/vuln/detail/CVE-2021-41819)로 등록되었습니다.
+Ruby를 갱신하는 것을 강력히 권장합니다.
+
+## 세부 내용
+
+`CGI::Cookie.parse`의 구버전에서는 쿠키의 이름에 URL 디코딩을 적용했습니다.
+공격자는 이 취약점을 통해 쿠키 이름의 보안 접두사를 위장해 취약한 애플리케이션을 속일 수 있습니다.
+
+이 수정으로 `CGI::Cookie.parse`는 더 이상 쿠키 이름에 URL 디코딩을 적용하지 않습니다.
+사용하고 있는 쿠키 이름에 영숫자 이외의 문자가 URL 인코딩을 적용해 사용되었을 경우 호환되지 않으므로 주의하세요.
+
+이는 [CVE-2020-8184](https://nvd.nist.gov/vuln/detail/CVE-2020-8184)와 동일한 문제입니다.
+
+Ruby 2.7이나 3.0을 사용하고 있는 경우,
+
+* cgi gem의 버전을 0.3.1, 0.2.1, 0.1.1 또는 그 이상의 버전으로 갱신해 주세요. `gem update cgi` 명령으로 갱신할 수 있습니다. Bundler를 사용하고 있다면, `Gemfile`에 `gem "cgi", ">= 0.3.1"`를 추가해 주세요.
+* 또는 Ruby를 2.7.5나 3.0.3으로 갱신해 주세요.
+
+Ruby 2.6을 사용하고 있는 경우,
+
+* Ruby를 2.6.9로 갱신해 주세요. *Ruby 2.6 이하에서는 `gem update cgi`를 사용할 수 없습니다.*
+
+## 해당 버전
+
+* Ruby 2.6.8 이하 (해당 버전에서는 `gem update cgi`를 *사용할 수 없습니다*)
+* cgi gem 0.1.0 이하(Ruby 2.7.5 이하에 내장된 버전)
+* cgi gem 0.2.0 이하(Ruby 3.0.3 이하에 내장된 버전)
+* cgi gem 0.3.0 이하
+
+## 도움을 준 사람
+
+이 문제를 발견해 준 [ooooooo_q](https://hackerone.com/ooooooo_q)에게 감사를 표합니다.
+
+## 수정 이력
+
+* 2021-11-24 12:00:00 (UTC) 최초 공개
@@ -0,0 +1,59 @@
+---
+layout: news_post
+title: "Ruby 2.6.9 릴리스"
+author: "usa"
+translator: "shia"
+date: 2021-11-24 12:00:00 +0000
+lang: ko
+---
+
+Ruby 2.6.9가 릴리스되었습니다.
+
+이 릴리스는 보안 수정을 포함합니다.
+자세한 사항은 아래 글을 확인해 보세요.
+
+* [CVE-2021-41817: 날짜 구문 분석 메서드의 정규표현식 서비스 거부(DoS) 취약점]({%link ko/news/_posts/2021-11-15-date-parsing-method-regexp-dos-cve-2021-41817.md %})
+* [CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장]({%link ko/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md %})
+
+자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v2_6_8...v2_6_9)를 확인해 주세요.
+
+Ruby 2.6은 보안 유지보수 단계이며, 이는 2022년 3월 말에 종료됩니다.
+해당 일자로 Ruby 2.6의 유지보수는 종료됩니다.
+Ruby 3.0이나 2.7로 업그레이드할 계획을 세우기 바랍니다.
+
+## 다운로드
+
+{% assign release = site.data.releases | where: "version", "2.6.9" | first %}
+
+* <{{ release.url.bz2 }}>
+
+      SIZE: {{ release.size.bz2 }}
+      SHA1: {{ release.sha1.bz2 }}
+      SHA256: {{ release.sha256.bz2 }}
+      SHA512: {{ release.sha512.bz2 }}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## 릴리스 코멘트
+
+많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다.
+그들의 기여에 감사드립니다.
@@ -0,0 +1,58 @@
+---
+layout: news_post
+title: "Ruby 2.7.5 릴리스"
+author: "usa"
+translator: "shia"
+date: 2021-11-24 12:00:00 +0000
+lang: ko
+---
+
+Ruby 2.7.5가 릴리스되었습니다.
+
+이 릴리스는 보안 수정을 포함합니다.
+자세한 사항은 아래 글을 확인해 보세요.
+
+* [CVE-2021-41817: 날짜 구문 분석 메서드의 정규표현식 서비스 거부(DoS) 취약점]({%link ko/news/_posts/2021-11-15-date-parsing-method-regexp-dos-cve-2021-41817.md %})
+* [CVE-2021-41816: CGI.escape_html에서의 버퍼 오버런]({%link ko/news/_posts/2021-11-24-buffer-overrun-in-cgi-escape_html-cve-2021-41816.md %})
+* [CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장]({%link ko/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md %})
+
+자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v2_7_4...v2_7_5)를 확인해 주세요.
+
+## 다운로드
+
+{% assign release = site.data.releases | where: "version", "2.7.5" | first %}
+
+* <{{ release.url.bz2 }}>
+
+      SIZE: {{ release.size.bz2 }}
+      SHA1: {{ release.sha1.bz2 }}
+      SHA256: {{ release.sha256.bz2 }}
+      SHA512: {{ release.sha512.bz2 }}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## 릴리스 코멘트
+
+많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다.
+그들의 기여에 감사드립니다.
+
+이 릴리스를 포함한 Ruby 2.7의 유지보수는 Ruby Association의 "Ruby 안정 버전에 관한 협의"에 기반해 이루어집니다.
@@ -0,0 +1,49 @@
+---
+layout: news_post
+title: "Ruby 3.0.3 릴리스"
+author: "nagachika"
+translator: "shia"
+date: 2021-11-24 12:00:00 +0000
+lang: ko
+---
+
+Ruby 3.0.3이 릴리스되었습니다.
+
+이 릴리스는 보안 수정을 포함합니다.
+자세한 사항은 아래 글을 확인해 보세요.
+
+* [CVE-2021-41817: 날짜 구문 분석 메서드의 정규표현식 서비스 거부(DoS) 취약점]({%link ko/news/_posts/2021-11-15-date-parsing-method-regexp-dos-cve-2021-41817.md %})
+* [CVE-2021-41816: CGI.escape_html에서의 버퍼 오버런]({%link ko/news/_posts/2021-11-24-buffer-overrun-in-cgi-escape_html-cve-2021-41816.md %})
+* [CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장]({%link ko/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md %})
+
+자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v3_0_2...v3_0_3)를 확인해 주세요.
+
+## 다운로드
+
+{% assign release = site.data.releases | where: "version", "3.0.3" | first %}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## 릴리스 코멘트
+
+많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다.
+그들의 기여에 감사드립니다.