ruby · marocchino · Oct 4, 2020 · Oct 3, 2020 · Oct 3, 2020 · Oct 4, 2020
@@ -0,0 +1,45 @@
+---
+layout: news_post
+title: "CVE-2020-10663: JSON의 안전하지 않은 객체 생성 취약점(추가 수정)"
+author: "mame"
+translator: "yous"
+date: 2020-03-19 13:00:00 +0000
+tags: security
+lang: ko
+---
+
+루비에 포함된 json 젬에 안전하지 않은 객체 생성 취약점이 있습니다.
+이 취약점에 [CVE-2020-10663](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10663)이 할당되었습니다.
+json 젬을 업그레이드하기 바랍니다.
+
+## 세부 내용
+
+특정 JSON 문서를 파싱할 때, json 젬(루비에 포함된 젬을 포함해서)이 대상 시스템에
+임의의 객체를 생성하도록 강요될 수 있습니다.
+
+이는 [CVE-2013-0269](https://www.ruby-lang.org/en/news/2013/02/22/json-dos-cve-2013-0269/)와
+같은 문제입니다. 이전 수정이 완전하지 않아서 `JSON.parse(user_input)`는 고쳤지만
+`JSON(user_input)`과 `JSON.parse(user_input, nil)`을 포함한 다른 유형의 JSON
+파싱은 고치지 않았습니다.
+
+자세한 내용은
+[CVE-2013-0269](https://www.ruby-lang.org/en/news/2013/02/22/json-dos-cve-2013-0269/)를
+참조하세요. 이 문제는 가비지 컬렉션이 불가능한 Symbol 객체를 다수 생성하여
+서비스 거부 공격(DoS)을 일으키도록 공격할 수 있었습니다. 하지만 Symbol 객체가
+가비지 컬렉션이 가능해져서 이런 유형의 공격은 더 이상 가능하지 않습니다.
+
+json 젬을 2.3.0 이후 버전으로 업데이트해주세요. `gem update json`으로 업데이트할
+수 있습니다. bundler를 사용한다면 `Gemfile`에 `gem "json", ">= 2.3.0"`을
+추가하세요.
+
+## 해당 버전
+
+* JSON 젬 2.2.0 이하
+
+## 도움을 준 사람
+
+이 문제를 발견해 준 Jeremy Evans에게 감사를 표합니다.
+
+## 수정 이력
+
+* 2020-03-19 13:00:00 (UTC) 최초 공개