Skip to content

Commit

Permalink
Translate Ruby 2.6.9, 2.7.5, 3.0.3 released (ko) (#2949)
Browse files Browse the repository at this point in the history
* Copy news from en

* Translate CVE-2021-41816

* Translate CVE-2021-41819

* Translate 2.6.9, 2.7.5, 3.0.3 released

* Apply suggestions from code review

Co-authored-by: Chayoung You <[email protected]>

Co-authored-by: Chayoung You <[email protected]>
  • Loading branch information
riseshia and yous authored Jan 10, 2023
1 parent 1b1f396 commit c7c4f4e
Show file tree
Hide file tree
Showing 5 changed files with 249 additions and 0 deletions.
Original file line number Diff line number Diff line change
@@ -0,0 +1,36 @@
---
layout: news_post
title: "CVE-2021-41816: CGI.escape_html에서의 버퍼 오버런"
author: "mame"
translator: "shia"
date: 2021-11-24 12:00:00 +0000
tags: security
lang: ko
---

CGI.escape_html에서 버퍼 오버런 취약점이 발견되었습니다.
이 취약점은 CVE 번호 [CVE-2021-41816](https://nvd.nist.gov/vuln/detail/CVE-2021-41816)으로 등록되었습니다.
Ruby를 갱신하는 것을 강력히 권장합니다.

## 세부 내용

이 보안 취약점은 `long` 타입으로 4바이트를 받는, Windows 등의 환경에서 `CGI.escape_html`에 700MB 이상의 매우 긴 문자열을 넘길 경우 버퍼 오버플로를 발생시킵니다.

cgi gem의 버전을 0.3.1, 0.2.1, 0.1.1 또는 그 이상의 버전으로 갱신해 주세요. `gem update cgi` 명령으로 갱신할 수 있습니다. Bundler를 사용하고 있다면, `Gemfile``gem "cgi", ">= 0.3.1"`를 추가해 주세요.
또는 Ruby를 2.7.5나 3.0.3으로 갱신해 주세요.

이 문제는 Ruby 2.7에서 발생했으므로, Ruby 2.6에 내장되어있는 cgi 버전은 영향을 받지 않습니다.

## 해당 버전

* cgi gem 0.1.0 이하(Ruby 2.7.5 이하에 내장된 버전)
* cgi gem 0.2.0 이하(Ruby 3.0.3 이하에 내장된 버전)
* cgi gem 0.3.0 이하

## 도움을 준 사람

이 문제를 발견해 준 [chamal](https://hackerone.com/chamal)에게 감사를 표합니다.

## 수정 이력

* 2021-11-24 12:00:00 (UTC) 최초 공개
Original file line number Diff line number Diff line change
@@ -0,0 +1,47 @@
---
layout: news_post
title: "CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장"
author: "mame"
translator: "shia"
date: 2021-11-24 12:00:00 +0000
tags: security
lang: ko
---

CGI::Cookie.parse에서 쿠키 접두사 위장 취약점이 발견되었습니다.
이 취약점은 CVE 번호 [CVE-2021-41819](https://nvd.nist.gov/vuln/detail/CVE-2021-41819)로 등록되었습니다.
Ruby를 갱신하는 것을 강력히 권장합니다.

## 세부 내용

`CGI::Cookie.parse`의 구버전에서는 쿠키의 이름에 URL 디코딩을 적용했습니다.
공격자는 이 취약점을 통해 쿠키 이름의 보안 접두사를 위장해 취약한 애플리케이션을 속일 수 있습니다.

이 수정으로 `CGI::Cookie.parse`는 더 이상 쿠키 이름에 URL 디코딩을 적용하지 않습니다.
사용하고 있는 쿠키 이름에 영숫자 이외의 문자가 URL 인코딩을 적용해 사용되었을 경우 호환되지 않으므로 주의하세요.

이는 [CVE-2020-8184](https://nvd.nist.gov/vuln/detail/CVE-2020-8184)와 동일한 문제입니다.

Ruby 2.7이나 3.0을 사용하고 있는 경우,

* cgi gem의 버전을 0.3.1, 0.2.1, 0.1.1 또는 그 이상의 버전으로 갱신해 주세요. `gem update cgi` 명령으로 갱신할 수 있습니다. Bundler를 사용하고 있다면, `Gemfile``gem "cgi", ">= 0.3.1"`를 추가해 주세요.
* 또는 Ruby를 2.7.5나 3.0.3으로 갱신해 주세요.

Ruby 2.6을 사용하고 있는 경우,

* Ruby를 2.6.9로 갱신해 주세요. *Ruby 2.6 이하에서는 `gem update cgi`를 사용할 수 없습니다.*

## 해당 버전

* Ruby 2.6.8 이하 (해당 버전에서는 `gem update cgi`*사용할 수 없습니다*)
* cgi gem 0.1.0 이하(Ruby 2.7.5 이하에 내장된 버전)
* cgi gem 0.2.0 이하(Ruby 3.0.3 이하에 내장된 버전)
* cgi gem 0.3.0 이하

## 도움을 준 사람

이 문제를 발견해 준 [ooooooo_q](https://hackerone.com/ooooooo_q)에게 감사를 표합니다.

## 수정 이력

* 2021-11-24 12:00:00 (UTC) 최초 공개
59 changes: 59 additions & 0 deletions ko/news/_posts/2021-11-24-ruby-2-6-9-released.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,59 @@
---
layout: news_post
title: "Ruby 2.6.9 릴리스"
author: "usa"
translator: "shia"
date: 2021-11-24 12:00:00 +0000
lang: ko
---

Ruby 2.6.9가 릴리스되었습니다.

이 릴리스는 보안 수정을 포함합니다.
자세한 사항은 아래 글을 확인해 보세요.

* [CVE-2021-41817: 날짜 구문 분석 메서드의 정규표현식 서비스 거부(DoS) 취약점]({%link ko/news/_posts/2021-11-15-date-parsing-method-regexp-dos-cve-2021-41817.md %})
* [CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장]({%link ko/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md %})

자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v2_6_8...v2_6_9)를 확인해 주세요.

Ruby 2.6은 보안 유지보수 단계이며, 이는 2022년 3월 말에 종료됩니다.
해당 일자로 Ruby 2.6의 유지보수는 종료됩니다.
Ruby 3.0이나 2.7로 업그레이드할 계획을 세우기 바랍니다.

## 다운로드

{% assign release = site.data.releases | where: "version", "2.6.9" | first %}

* <{{ release.url.bz2 }}>

SIZE: {{ release.size.bz2 }}
SHA1: {{ release.sha1.bz2 }}
SHA256: {{ release.sha256.bz2 }}
SHA512: {{ release.sha512.bz2 }}

* <{{ release.url.gz }}>

SIZE: {{ release.size.gz }}
SHA1: {{ release.sha1.gz }}
SHA256: {{ release.sha256.gz }}
SHA512: {{ release.sha512.gz }}

* <{{ release.url.xz }}>

SIZE: {{ release.size.xz }}
SHA1: {{ release.sha1.xz }}
SHA256: {{ release.sha256.xz }}
SHA512: {{ release.sha512.xz }}

* <{{ release.url.zip }}>

SIZE: {{ release.size.zip }}
SHA1: {{ release.sha1.zip }}
SHA256: {{ release.sha256.zip }}
SHA512: {{ release.sha512.zip }}

## 릴리스 코멘트

많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다.
그들의 기여에 감사드립니다.
58 changes: 58 additions & 0 deletions ko/news/_posts/2021-11-24-ruby-2-7-5-released.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,58 @@
---
layout: news_post
title: "Ruby 2.7.5 릴리스"
author: "usa"
translator: "shia"
date: 2021-11-24 12:00:00 +0000
lang: ko
---

Ruby 2.7.5가 릴리스되었습니다.

이 릴리스는 보안 수정을 포함합니다.
자세한 사항은 아래 글을 확인해 보세요.

* [CVE-2021-41817: 날짜 구문 분석 메서드의 정규표현식 서비스 거부(DoS) 취약점]({%link ko/news/_posts/2021-11-15-date-parsing-method-regexp-dos-cve-2021-41817.md %})
* [CVE-2021-41816: CGI.escape_html에서의 버퍼 오버런]({%link ko/news/_posts/2021-11-24-buffer-overrun-in-cgi-escape_html-cve-2021-41816.md %})
* [CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장]({%link ko/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md %})

자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v2_7_4...v2_7_5)를 확인해 주세요.

## 다운로드

{% assign release = site.data.releases | where: "version", "2.7.5" | first %}

* <{{ release.url.bz2 }}>

SIZE: {{ release.size.bz2 }}
SHA1: {{ release.sha1.bz2 }}
SHA256: {{ release.sha256.bz2 }}
SHA512: {{ release.sha512.bz2 }}

* <{{ release.url.gz }}>

SIZE: {{ release.size.gz }}
SHA1: {{ release.sha1.gz }}
SHA256: {{ release.sha256.gz }}
SHA512: {{ release.sha512.gz }}

* <{{ release.url.xz }}>

SIZE: {{ release.size.xz }}
SHA1: {{ release.sha1.xz }}
SHA256: {{ release.sha256.xz }}
SHA512: {{ release.sha512.xz }}

* <{{ release.url.zip }}>

SIZE: {{ release.size.zip }}
SHA1: {{ release.sha1.zip }}
SHA256: {{ release.sha256.zip }}
SHA512: {{ release.sha512.zip }}

## 릴리스 코멘트

많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다.
그들의 기여에 감사드립니다.

이 릴리스를 포함한 Ruby 2.7의 유지보수는 Ruby Association의 "Ruby 안정 버전에 관한 협의"에 기반해 이루어집니다.
49 changes: 49 additions & 0 deletions ko/news/_posts/2021-11-24-ruby-3-0-3-released.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,49 @@
---
layout: news_post
title: "Ruby 3.0.3 릴리스"
author: "nagachika"
translator: "shia"
date: 2021-11-24 12:00:00 +0000
lang: ko
---

Ruby 3.0.3이 릴리스되었습니다.

이 릴리스는 보안 수정을 포함합니다.
자세한 사항은 아래 글을 확인해 보세요.

* [CVE-2021-41817: 날짜 구문 분석 메서드의 정규표현식 서비스 거부(DoS) 취약점]({%link ko/news/_posts/2021-11-15-date-parsing-method-regexp-dos-cve-2021-41817.md %})
* [CVE-2021-41816: CGI.escape_html에서의 버퍼 오버런]({%link ko/news/_posts/2021-11-24-buffer-overrun-in-cgi-escape_html-cve-2021-41816.md %})
* [CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장]({%link ko/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md %})

자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v3_0_2...v3_0_3)를 확인해 주세요.

## 다운로드

{% assign release = site.data.releases | where: "version", "3.0.3" | first %}

* <{{ release.url.gz }}>

SIZE: {{ release.size.gz }}
SHA1: {{ release.sha1.gz }}
SHA256: {{ release.sha256.gz }}
SHA512: {{ release.sha512.gz }}

* <{{ release.url.xz }}>

SIZE: {{ release.size.xz }}
SHA1: {{ release.sha1.xz }}
SHA256: {{ release.sha256.xz }}
SHA512: {{ release.sha512.xz }}

* <{{ release.url.zip }}>

SIZE: {{ release.size.zip }}
SHA1: {{ release.sha1.zip }}
SHA256: {{ release.sha256.zip }}
SHA512: {{ release.sha512.zip }}

## 릴리스 코멘트

많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다.
그들의 기여에 감사드립니다.

0 comments on commit c7c4f4e

Please sign in to comment.