-
Notifications
You must be signed in to change notification settings - Fork 622
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
Translate Ruby 2.6.9, 2.7.5, 3.0.3 released (ko) (#2949)
* Copy news from en * Translate CVE-2021-41816 * Translate CVE-2021-41819 * Translate 2.6.9, 2.7.5, 3.0.3 released * Apply suggestions from code review Co-authored-by: Chayoung You <[email protected]> Co-authored-by: Chayoung You <[email protected]>
- Loading branch information
Showing
5 changed files
with
249 additions
and
0 deletions.
There are no files selected for viewing
36 changes: 36 additions & 0 deletions
36
ko/news/_posts/2021-11-24-buffer-overrun-in-cgi-escape_html-cve-2021-41816.md
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,36 @@ | ||
--- | ||
layout: news_post | ||
title: "CVE-2021-41816: CGI.escape_html에서의 버퍼 오버런" | ||
author: "mame" | ||
translator: "shia" | ||
date: 2021-11-24 12:00:00 +0000 | ||
tags: security | ||
lang: ko | ||
--- | ||
|
||
CGI.escape_html에서 버퍼 오버런 취약점이 발견되었습니다. | ||
이 취약점은 CVE 번호 [CVE-2021-41816](https://nvd.nist.gov/vuln/detail/CVE-2021-41816)으로 등록되었습니다. | ||
Ruby를 갱신하는 것을 강력히 권장합니다. | ||
|
||
## 세부 내용 | ||
|
||
이 보안 취약점은 `long` 타입으로 4바이트를 받는, Windows 등의 환경에서 `CGI.escape_html`에 700MB 이상의 매우 긴 문자열을 넘길 경우 버퍼 오버플로를 발생시킵니다. | ||
|
||
cgi gem의 버전을 0.3.1, 0.2.1, 0.1.1 또는 그 이상의 버전으로 갱신해 주세요. `gem update cgi` 명령으로 갱신할 수 있습니다. Bundler를 사용하고 있다면, `Gemfile`에 `gem "cgi", ">= 0.3.1"`를 추가해 주세요. | ||
또는 Ruby를 2.7.5나 3.0.3으로 갱신해 주세요. | ||
|
||
이 문제는 Ruby 2.7에서 발생했으므로, Ruby 2.6에 내장되어있는 cgi 버전은 영향을 받지 않습니다. | ||
|
||
## 해당 버전 | ||
|
||
* cgi gem 0.1.0 이하(Ruby 2.7.5 이하에 내장된 버전) | ||
* cgi gem 0.2.0 이하(Ruby 3.0.3 이하에 내장된 버전) | ||
* cgi gem 0.3.0 이하 | ||
|
||
## 도움을 준 사람 | ||
|
||
이 문제를 발견해 준 [chamal](https://hackerone.com/chamal)에게 감사를 표합니다. | ||
|
||
## 수정 이력 | ||
|
||
* 2021-11-24 12:00:00 (UTC) 최초 공개 |
47 changes: 47 additions & 0 deletions
47
.../_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,47 @@ | ||
--- | ||
layout: news_post | ||
title: "CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장" | ||
author: "mame" | ||
translator: "shia" | ||
date: 2021-11-24 12:00:00 +0000 | ||
tags: security | ||
lang: ko | ||
--- | ||
|
||
CGI::Cookie.parse에서 쿠키 접두사 위장 취약점이 발견되었습니다. | ||
이 취약점은 CVE 번호 [CVE-2021-41819](https://nvd.nist.gov/vuln/detail/CVE-2021-41819)로 등록되었습니다. | ||
Ruby를 갱신하는 것을 강력히 권장합니다. | ||
|
||
## 세부 내용 | ||
|
||
`CGI::Cookie.parse`의 구버전에서는 쿠키의 이름에 URL 디코딩을 적용했습니다. | ||
공격자는 이 취약점을 통해 쿠키 이름의 보안 접두사를 위장해 취약한 애플리케이션을 속일 수 있습니다. | ||
|
||
이 수정으로 `CGI::Cookie.parse`는 더 이상 쿠키 이름에 URL 디코딩을 적용하지 않습니다. | ||
사용하고 있는 쿠키 이름에 영숫자 이외의 문자가 URL 인코딩을 적용해 사용되었을 경우 호환되지 않으므로 주의하세요. | ||
|
||
이는 [CVE-2020-8184](https://nvd.nist.gov/vuln/detail/CVE-2020-8184)와 동일한 문제입니다. | ||
|
||
Ruby 2.7이나 3.0을 사용하고 있는 경우, | ||
|
||
* cgi gem의 버전을 0.3.1, 0.2.1, 0.1.1 또는 그 이상의 버전으로 갱신해 주세요. `gem update cgi` 명령으로 갱신할 수 있습니다. Bundler를 사용하고 있다면, `Gemfile`에 `gem "cgi", ">= 0.3.1"`를 추가해 주세요. | ||
* 또는 Ruby를 2.7.5나 3.0.3으로 갱신해 주세요. | ||
|
||
Ruby 2.6을 사용하고 있는 경우, | ||
|
||
* Ruby를 2.6.9로 갱신해 주세요. *Ruby 2.6 이하에서는 `gem update cgi`를 사용할 수 없습니다.* | ||
|
||
## 해당 버전 | ||
|
||
* Ruby 2.6.8 이하 (해당 버전에서는 `gem update cgi`를 *사용할 수 없습니다*) | ||
* cgi gem 0.1.0 이하(Ruby 2.7.5 이하에 내장된 버전) | ||
* cgi gem 0.2.0 이하(Ruby 3.0.3 이하에 내장된 버전) | ||
* cgi gem 0.3.0 이하 | ||
|
||
## 도움을 준 사람 | ||
|
||
이 문제를 발견해 준 [ooooooo_q](https://hackerone.com/ooooooo_q)에게 감사를 표합니다. | ||
|
||
## 수정 이력 | ||
|
||
* 2021-11-24 12:00:00 (UTC) 최초 공개 |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,59 @@ | ||
--- | ||
layout: news_post | ||
title: "Ruby 2.6.9 릴리스" | ||
author: "usa" | ||
translator: "shia" | ||
date: 2021-11-24 12:00:00 +0000 | ||
lang: ko | ||
--- | ||
|
||
Ruby 2.6.9가 릴리스되었습니다. | ||
|
||
이 릴리스는 보안 수정을 포함합니다. | ||
자세한 사항은 아래 글을 확인해 보세요. | ||
|
||
* [CVE-2021-41817: 날짜 구문 분석 메서드의 정규표현식 서비스 거부(DoS) 취약점]({%link ko/news/_posts/2021-11-15-date-parsing-method-regexp-dos-cve-2021-41817.md %}) | ||
* [CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장]({%link ko/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md %}) | ||
|
||
자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v2_6_8...v2_6_9)를 확인해 주세요. | ||
|
||
Ruby 2.6은 보안 유지보수 단계이며, 이는 2022년 3월 말에 종료됩니다. | ||
해당 일자로 Ruby 2.6의 유지보수는 종료됩니다. | ||
Ruby 3.0이나 2.7로 업그레이드할 계획을 세우기 바랍니다. | ||
|
||
## 다운로드 | ||
|
||
{% assign release = site.data.releases | where: "version", "2.6.9" | first %} | ||
|
||
* <{{ release.url.bz2 }}> | ||
|
||
SIZE: {{ release.size.bz2 }} | ||
SHA1: {{ release.sha1.bz2 }} | ||
SHA256: {{ release.sha256.bz2 }} | ||
SHA512: {{ release.sha512.bz2 }} | ||
|
||
* <{{ release.url.gz }}> | ||
|
||
SIZE: {{ release.size.gz }} | ||
SHA1: {{ release.sha1.gz }} | ||
SHA256: {{ release.sha256.gz }} | ||
SHA512: {{ release.sha512.gz }} | ||
|
||
* <{{ release.url.xz }}> | ||
|
||
SIZE: {{ release.size.xz }} | ||
SHA1: {{ release.sha1.xz }} | ||
SHA256: {{ release.sha256.xz }} | ||
SHA512: {{ release.sha512.xz }} | ||
|
||
* <{{ release.url.zip }}> | ||
|
||
SIZE: {{ release.size.zip }} | ||
SHA1: {{ release.sha1.zip }} | ||
SHA256: {{ release.sha256.zip }} | ||
SHA512: {{ release.sha512.zip }} | ||
|
||
## 릴리스 코멘트 | ||
|
||
많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다. | ||
그들의 기여에 감사드립니다. |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,58 @@ | ||
--- | ||
layout: news_post | ||
title: "Ruby 2.7.5 릴리스" | ||
author: "usa" | ||
translator: "shia" | ||
date: 2021-11-24 12:00:00 +0000 | ||
lang: ko | ||
--- | ||
|
||
Ruby 2.7.5가 릴리스되었습니다. | ||
|
||
이 릴리스는 보안 수정을 포함합니다. | ||
자세한 사항은 아래 글을 확인해 보세요. | ||
|
||
* [CVE-2021-41817: 날짜 구문 분석 메서드의 정규표현식 서비스 거부(DoS) 취약점]({%link ko/news/_posts/2021-11-15-date-parsing-method-regexp-dos-cve-2021-41817.md %}) | ||
* [CVE-2021-41816: CGI.escape_html에서의 버퍼 오버런]({%link ko/news/_posts/2021-11-24-buffer-overrun-in-cgi-escape_html-cve-2021-41816.md %}) | ||
* [CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장]({%link ko/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md %}) | ||
|
||
자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v2_7_4...v2_7_5)를 확인해 주세요. | ||
|
||
## 다운로드 | ||
|
||
{% assign release = site.data.releases | where: "version", "2.7.5" | first %} | ||
|
||
* <{{ release.url.bz2 }}> | ||
|
||
SIZE: {{ release.size.bz2 }} | ||
SHA1: {{ release.sha1.bz2 }} | ||
SHA256: {{ release.sha256.bz2 }} | ||
SHA512: {{ release.sha512.bz2 }} | ||
|
||
* <{{ release.url.gz }}> | ||
|
||
SIZE: {{ release.size.gz }} | ||
SHA1: {{ release.sha1.gz }} | ||
SHA256: {{ release.sha256.gz }} | ||
SHA512: {{ release.sha512.gz }} | ||
|
||
* <{{ release.url.xz }}> | ||
|
||
SIZE: {{ release.size.xz }} | ||
SHA1: {{ release.sha1.xz }} | ||
SHA256: {{ release.sha256.xz }} | ||
SHA512: {{ release.sha512.xz }} | ||
|
||
* <{{ release.url.zip }}> | ||
|
||
SIZE: {{ release.size.zip }} | ||
SHA1: {{ release.sha1.zip }} | ||
SHA256: {{ release.sha256.zip }} | ||
SHA512: {{ release.sha512.zip }} | ||
|
||
## 릴리스 코멘트 | ||
|
||
많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다. | ||
그들의 기여에 감사드립니다. | ||
|
||
이 릴리스를 포함한 Ruby 2.7의 유지보수는 Ruby Association의 "Ruby 안정 버전에 관한 협의"에 기반해 이루어집니다. |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,49 @@ | ||
--- | ||
layout: news_post | ||
title: "Ruby 3.0.3 릴리스" | ||
author: "nagachika" | ||
translator: "shia" | ||
date: 2021-11-24 12:00:00 +0000 | ||
lang: ko | ||
--- | ||
|
||
Ruby 3.0.3이 릴리스되었습니다. | ||
|
||
이 릴리스는 보안 수정을 포함합니다. | ||
자세한 사항은 아래 글을 확인해 보세요. | ||
|
||
* [CVE-2021-41817: 날짜 구문 분석 메서드의 정규표현식 서비스 거부(DoS) 취약점]({%link ko/news/_posts/2021-11-15-date-parsing-method-regexp-dos-cve-2021-41817.md %}) | ||
* [CVE-2021-41816: CGI.escape_html에서의 버퍼 오버런]({%link ko/news/_posts/2021-11-24-buffer-overrun-in-cgi-escape_html-cve-2021-41816.md %}) | ||
* [CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장]({%link ko/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md %}) | ||
|
||
자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v3_0_2...v3_0_3)를 확인해 주세요. | ||
|
||
## 다운로드 | ||
|
||
{% assign release = site.data.releases | where: "version", "3.0.3" | first %} | ||
|
||
* <{{ release.url.gz }}> | ||
|
||
SIZE: {{ release.size.gz }} | ||
SHA1: {{ release.sha1.gz }} | ||
SHA256: {{ release.sha256.gz }} | ||
SHA512: {{ release.sha512.gz }} | ||
|
||
* <{{ release.url.xz }}> | ||
|
||
SIZE: {{ release.size.xz }} | ||
SHA1: {{ release.sha1.xz }} | ||
SHA256: {{ release.sha256.xz }} | ||
SHA512: {{ release.sha512.xz }} | ||
|
||
* <{{ release.url.zip }}> | ||
|
||
SIZE: {{ release.size.zip }} | ||
SHA1: {{ release.sha1.zip }} | ||
SHA256: {{ release.sha256.zip }} | ||
SHA512: {{ release.sha512.zip }} | ||
|
||
## 릴리스 코멘트 | ||
|
||
많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다. | ||
그들의 기여에 감사드립니다. |