ruby · hsbt · Apr 5, 2023 · Apr 5, 2023 · Apr 5, 2023
@@ -28,7 +28,7 @@ lang: ko
 * Onigmo를 6.1.1로 병합했습니다.
   [absence operator](https://github.com/k-takata/Onigmo/issues/87)를 추가했습니다.
   루비 2.4.1은 이미 이 사항을 포함하였습니다.
-* 번들러를 표준 라이브러리로 병합했습니다.
+* bundler를 표준 라이브러리로 병합했습니다.
 * rubygems-2.6.13 병합했습니다.
 * rdoc-6.0.0.beta2 병합했습니다.
   IRB 구문 분석기를 Ripper로 교체,

@@ -18,7 +18,7 @@ WEBrick은 유효하지 않은 Transfer-Encoding 헤더에 너무 관대했습
 이는 WEBrick과 몇몇 HTTP 프록시 서버들 사이에서 해석 불일치를 유발해 공격자가 어떤 요청을 몰래 끼워넣을 수 있도록 합니다.
 자세한 설명은 [CWE-444](https://cwe.mitre.org/data/definitions/444.html)를 참고하세요.
 
-webrick 젬을 1.6.1 이상으로 업그레이드하기 바랍니다. 업그레이드하려면 `gem update webrick` 명령을 사용하세요. 만약 번들러를 사용하고 있다면 `Gemfile`에 `gem "webrick", ">= 1.6.1"`을 추가하세요.
+webrick 젬을 1.6.1 이상으로 업그레이드하기 바랍니다. 업그레이드하려면 `gem update webrick` 명령을 사용하세요. 만약 bundler를 사용하고 있다면 `Gemfile`에 `gem "webrick", ">= 1.6.1"`을 추가하세요.
 
 ## 해당 버전
 

@@ -137,7 +137,7 @@ long_time_re =~ "a" * 50000 + "x" # 타임아웃이 발생하지 않습니다.
 
     * 미정
 
-*   다음 기본 gem은 이제 내장 gem이 됩니다. 사용하려면 번들러 환경에서 `Gemfile`에 다음 라이브러리들을 추가해야 합니다.
+*   다음 기본 gem은 이제 내장 gem이 됩니다. 사용하려면 bundler 환경에서 `Gemfile`에 다음 라이브러리들을 추가해야 합니다.
 
     * 미정
 

@@ -0,0 +1,43 @@
+---
+layout: news_post
+title: "CVE-2023-28756: Time의 ReDoS 취약점"
+author: "hsbt"
+translator: "marocchino"
+date: 2023-03-30 11:00:00 +0000
+tags: security
+lang: ko
+---
+
+Time gem 0.1.1, 0.2.2 버전에 ReDoS 취약점에 대한 보안 수정이 적용된 버전이 출시되었습니다.
+이 취약점에는 CVE 식별자 [CVE-2023-28756](https://www.cve.org/CVERecord?id=CVE-2023-28756)이 할당되었습니다.
+
+## 세부 내용
+
+Time 구문 분석기가 특정 문자가 포함된 유효하지 않은 문자열을 잘못 처리합니다. 이로 인해 문자열을 Time 객체로 구문 분석할 때 실행 시간이 늘어납니다.
+
+Time gem 0.1.0, 0.2.1, Ruby 2.7.7의 Time 라이브러리에서 ReDoS 문제가 발견되었습니다.
+
+## 권장 조치
+
+Time gem을 0.2.2 버전 이상으로 업데이트하는 것이 좋습니다. 이전 Ruby 버전대에서는 동봉된 버전과의 호환성을 보장하기 위해 다음과 같이 업데이트할 수 있습니다.
+
+* Ruby 3.0 사용자의 경우: `time` 0.1.1로 업데이트
+* Ruby 3.1/3.2 사용자의 경우: `time` 0.2.2로 업데이트
+
+`gem update time`을 사용하여 업데이트할 수 있습니다. bundler를 사용 중이라면 `gem "time", ">= 0.2.2"`를 `Gemfile`에 추가해 주세요.
+
+안타깝게도 Time gem은 Ruby 3.0 이상에서만 작동합니다. Ruby 2.7을 사용 중이라면 최신 버전의 Ruby를 사용하시기 바랍니다.
+
+## 해당 버전
+
+* Ruby 2.7.7 이하
+* time gem 0.1.0
+* time gem 0.2.1
+
+## 도움을 준 사람
+
+이 문제를 발견해 주신 [ooooooo_q](https://hackerone.com/ooooooo_q?type=user)에게 감사드립니다.
+
+## 수정 이력
+
+* 2023-03-30 11:00:00 (UTC) 최초 공개