Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Translate "CVE-2023-28756: ReDoS vulnerability in Time" (ko) #3022

Merged
merged 2 commits into from
Apr 5, 2023
Merged
Show file tree
Hide file tree
Changes from all commits
Commits
File filter

Filter by extension

Filter by extension

Conversations
Failed to load comments.
Loading
Jump to
Jump to file
Failed to load files.
Loading
Diff view
Diff view
Original file line number Diff line number Diff line change
Expand Up @@ -28,7 +28,7 @@ lang: ko
* Onigmo를 6.1.1로 병합했습니다.
[absence operator](https://github.com/k-takata/Onigmo/issues/87)를 추가했습니다.
루비 2.4.1은 이미 이 사항을 포함하였습니다.
* 번들러를 표준 라이브러리로 병합했습니다.
* bundler를 표준 라이브러리로 병합했습니다.
* rubygems-2.6.13 병합했습니다.
* rdoc-6.0.0.beta2 병합했습니다.
IRB 구문 분석기를 Ripper로 교체,
Expand Down
Original file line number Diff line number Diff line change
Expand Up @@ -18,7 +18,7 @@ WEBrick은 유효하지 않은 Transfer-Encoding 헤더에 너무 관대했습
이는 WEBrick과 몇몇 HTTP 프록시 서버들 사이에서 해석 불일치를 유발해 공격자가 어떤 요청을 몰래 끼워넣을 수 있도록 합니다.
자세한 설명은 [CWE-444](https://cwe.mitre.org/data/definitions/444.html)를 참고하세요.

webrick 젬을 1.6.1 이상으로 업그레이드하기 바랍니다. 업그레이드하려면 `gem update webrick` 명령을 사용하세요. 만약 번들러를 사용하고 있다면 `Gemfile`에 `gem "webrick", ">= 1.6.1"`을 추가하세요.
webrick 젬을 1.6.1 이상으로 업그레이드하기 바랍니다. 업그레이드하려면 `gem update webrick` 명령을 사용하세요. 만약 bundler를 사용하고 있다면 `Gemfile`에 `gem "webrick", ">= 1.6.1"`을 추가하세요.

## 해당 버전

Expand Down
Original file line number Diff line number Diff line change
Expand Up @@ -137,7 +137,7 @@ long_time_re =~ "a" * 50000 + "x" # 타임아웃이 발생하지 않습니다.

* 미정

* 다음 기본 gem은 이제 내장 gem이 됩니다. 사용하려면 번들러 환경에서 `Gemfile`에 다음 라이브러리들을 추가해야 합니다.
* 다음 기본 gem은 이제 내장 gem이 됩니다. 사용하려면 bundler 환경에서 `Gemfile`에 다음 라이브러리들을 추가해야 합니다.

* 미정

Expand Down
43 changes: 43 additions & 0 deletions ko/news/_posts/2023-03-30-redos-in-time-cve-2023-28756.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,43 @@
---
layout: news_post
title: "CVE-2023-28756: Time의 ReDoS 취약점"
author: "hsbt"
translator: "marocchino"
date: 2023-03-30 11:00:00 +0000
tags: security
lang: ko
---

Time gem 0.1.1, 0.2.2 버전에 ReDoS 취약점에 대한 보안 수정이 적용된 버전이 출시되었습니다.
이 취약점에는 CVE 식별자 [CVE-2023-28756](https://www.cve.org/CVERecord?id=CVE-2023-28756)이 할당되었습니다.

## 세부 내용

Time 구문 분석기가 특정 문자가 포함된 유효하지 않은 문자열을 잘못 처리합니다. 이로 인해 문자열을 Time 객체로 구문 분석할 때 실행 시간이 늘어납니다.

Time gem 0.1.0, 0.2.1, Ruby 2.7.7의 Time 라이브러리에서 ReDoS 문제가 발견되었습니다.

## 권장 조치

Time gem을 0.2.2 버전 이상으로 업데이트하는 것이 좋습니다. 이전 Ruby 버전대에서는 동봉된 버전과의 호환성을 보장하기 위해 다음과 같이 업데이트할 수 있습니다.

* Ruby 3.0 사용자의 경우: `time` 0.1.1로 업데이트
* Ruby 3.1/3.2 사용자의 경우: `time` 0.2.2로 업데이트

`gem update time`을 사용하여 업데이트할 수 있습니다. bundler를 사용 중이라면 `gem "time", ">= 0.2.2"`를 `Gemfile`에 추가해 주세요.

안타깝게도 Time gem은 Ruby 3.0 이상에서만 작동합니다. Ruby 2.7을 사용 중이라면 최신 버전의 Ruby를 사용하시기 바랍니다.

## 해당 버전

* Ruby 2.7.7 이하
* time gem 0.1.0
* time gem 0.2.1

## 도움을 준 사람

이 문제를 발견해 주신 [ooooooo_q](https://hackerone.com/ooooooo_q?type=user)에게 감사드립니다.

## 수정 이력

* 2023-03-30 11:00:00 (UTC) 최초 공개