ruby · riseshia · Oct 29, 2024 · Oct 28, 2024 · Oct 28, 2024
@@ -0,0 +1,31 @@
+---
+layout: news_post
+title: "CVE-2024-49761: REXML의 ReDoS 취약점"
+author: "kou"
+translator: "shia"
+date: 2024-10-28 03:00:00 +0000
+tags: security
+lang: ko
+---
+
+REXML gem에서 ReDoS 취약점이 발견되었습니다. 이 취약점은 CVE 번호 [CVE-2024-49761](https://www.cve.org/CVERecord?id=CVE-2024-49761)로 등록되었습니다. REXML gem 업그레이드를 강하게 추천합니다.
+
+Ruby 3.2나 그 이상에서는 이 문제가 발생하지 않습니다. 유지 관리 중인 Ruby 중 유일하게 영향을 받는 버전은 Ruby 3.1입니다. Ruby 3.1은 2025년 3월에 EOL이 예정되어 있습니다.
+
+## 세부 내용
+
+16진수 숫자 문자 참조(`&#x...;`)에서 `&#`과 `x...;` 사이에 많은 숫자가 있는 XML을 파싱할 때 발생합니다.
+
+REXML gem을 3.3.9나 그 이상으로 업데이트하세요.
+
+## 해당 버전
+
+* Ruby 3.1과 그 이하 버전에서 REXML gem 3.3.8과 그 이하
+
+## 도움을 준 사람
+
+이 문제를 발견해 준 [manun](https://hackerone.com/manun)에게 감사를 표합니다.
+
+## 수정 이력
+
+* 2024-10-28 03:00:00 (UTC) 최초 공개