ruby · marocchino · Apr 3, 2023 · Mar 28, 2023 · Mar 28, 2023 · Apr 2, 2023
@@ -0,0 +1,46 @@
+---
+layout: news_post
+title: "CVE-2023-28755: URI의 ReDoS 취약점"
+author: "hsbt"
+translator: "marocchino"
+date: 2023-03-28 01:00:00 +0000
+tags: security
+lang: ko
+---
+
+ReDoS 취약점에 대한 보안 수정이 포함된 uri gem 버전 0.12.1, 0.11.1, 0.10.2, 0.10.0.1을 릴리스했습니다. 이
+취약점에는 CVE 식별자 [CVE-2023-28755](https://www.cve.org/CVERecord?id=CVE-2023-28755)가 할당되었습니다.
+
+## 세부 내용
+
+URI 구성 요소에서 ReDoS 문제가 발견되었습니다. URI 구문 분석기가 특정 문자가 포함된 유효하지 않은 URL을 잘못 처리합니다. 이로 인해 URI 객체에 대한 문자열 구문 분석 실행 시간이 증가합니다.
+
+`uri` gem의 0.12.0, 0.11.0, 0.10.1, 0.10.0과 모든 0.10.0 이하 버전이 이 취약점에 취약합니다.
+
+## 권장 조치
+
+`uri` gem을 0.12.1로 업데이트하는 것이 좋습니다. 이전 Ruby 시리즈에서는 포함된 버전과의 호환성을 보장하기 위해 다음과 같이 업데이트할 수 있습니다.
+
+* Ruby 2.7: `uri` 0.10.0.1로 업데이트
+* Ruby 3.0: `uri` 0.10.2로 업데이트
+* Ruby 3.1: `uri` 0.11.1로 업데이트
+* Ruby 3.2: `uri` 0.12.1로 업데이트
+
+`gem update uri`를 사용하여 업데이트할 수 있습니다. 번들러를 사용하는 경우 `gem "uri", ">= 0.12.1"`(또는 위에 언급된 다른 버전)을 `Gemfile`에 추가하세요.
+
+## 해당 버전
+
+* uri gem 0.12.0
+* uri gem 0.11.0
+* uri gem 0.10.1
+* uri gem 0.10.0과 그 이하
+
+## 도움을 준 사람
+
+이 문제를 발견해 준 [Dominic Couture](https://hackerone.com/dee-see?type=user)에게 감사를 표합니다.
+
+## 수정 이력
+
+* 2023-03-28 01:00:00 (UTC) 최초 공개
+* 2023-03-28 02:00:00 (UTC) 해당 버전 수정
+* 2023-03-28 04:00:00 (UTC) CVE 식별자 URL 업데이트