From c7c4f4ebdafbcd8b006f9c942cb91de5090fe264 Mon Sep 17 00:00:00 2001 From: Shia Date: Tue, 10 Jan 2023 17:42:33 +0900 Subject: [PATCH] Translate Ruby 2.6.9, 2.7.5, 3.0.3 released (ko) (#2949) * Copy news from en * Translate CVE-2021-41816 * Translate CVE-2021-41819 * Translate 2.6.9, 2.7.5, 3.0.3 released * Apply suggestions from code review Co-authored-by: Chayoung You Co-authored-by: Chayoung You --- ...errun-in-cgi-escape_html-cve-2021-41816.md | 36 +++++++++++ ...fing-in-cgi-cookie-parse-cve-2021-41819.md | 47 +++++++++++++++ .../_posts/2021-11-24-ruby-2-6-9-released.md | 59 +++++++++++++++++++ .../_posts/2021-11-24-ruby-2-7-5-released.md | 58 ++++++++++++++++++ .../_posts/2021-11-24-ruby-3-0-3-released.md | 49 +++++++++++++++ 5 files changed, 249 insertions(+) create mode 100644 ko/news/_posts/2021-11-24-buffer-overrun-in-cgi-escape_html-cve-2021-41816.md create mode 100644 ko/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md create mode 100644 ko/news/_posts/2021-11-24-ruby-2-6-9-released.md create mode 100644 ko/news/_posts/2021-11-24-ruby-2-7-5-released.md create mode 100644 ko/news/_posts/2021-11-24-ruby-3-0-3-released.md diff --git a/ko/news/_posts/2021-11-24-buffer-overrun-in-cgi-escape_html-cve-2021-41816.md b/ko/news/_posts/2021-11-24-buffer-overrun-in-cgi-escape_html-cve-2021-41816.md new file mode 100644 index 0000000000..eb9b9ca22b --- /dev/null +++ b/ko/news/_posts/2021-11-24-buffer-overrun-in-cgi-escape_html-cve-2021-41816.md @@ -0,0 +1,36 @@ +--- +layout: news_post +title: "CVE-2021-41816: CGI.escape_html에서의 버퍼 오버런" +author: "mame" +translator: "shia" +date: 2021-11-24 12:00:00 +0000 +tags: security +lang: ko +--- + +CGI.escape_html에서 버퍼 오버런 취약점이 발견되었습니다. +이 취약점은 CVE 번호 [CVE-2021-41816](https://nvd.nist.gov/vuln/detail/CVE-2021-41816)으로 등록되었습니다. +Ruby를 갱신하는 것을 강력히 권장합니다. + +## 세부 내용 + +이 보안 취약점은 `long` 타입으로 4바이트를 받는, Windows 등의 환경에서 `CGI.escape_html`에 700MB 이상의 매우 긴 문자열을 넘길 경우 버퍼 오버플로를 발생시킵니다. + +cgi gem의 버전을 0.3.1, 0.2.1, 0.1.1 또는 그 이상의 버전으로 갱신해 주세요. `gem update cgi` 명령으로 갱신할 수 있습니다. Bundler를 사용하고 있다면, `Gemfile`에 `gem "cgi", ">= 0.3.1"`를 추가해 주세요. +또는 Ruby를 2.7.5나 3.0.3으로 갱신해 주세요. + +이 문제는 Ruby 2.7에서 발생했으므로, Ruby 2.6에 내장되어있는 cgi 버전은 영향을 받지 않습니다. + +## 해당 버전 + +* cgi gem 0.1.0 이하(Ruby 2.7.5 이하에 내장된 버전) +* cgi gem 0.2.0 이하(Ruby 3.0.3 이하에 내장된 버전) +* cgi gem 0.3.0 이하 + +## 도움을 준 사람 + +이 문제를 발견해 준 [chamal](https://hackerone.com/chamal)에게 감사를 표합니다. + +## 수정 이력 + +* 2021-11-24 12:00:00 (UTC) 최초 공개 diff --git a/ko/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md b/ko/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md new file mode 100644 index 0000000000..ad01350d4b --- /dev/null +++ b/ko/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md @@ -0,0 +1,47 @@ +--- +layout: news_post +title: "CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장" +author: "mame" +translator: "shia" +date: 2021-11-24 12:00:00 +0000 +tags: security +lang: ko +--- + +CGI::Cookie.parse에서 쿠키 접두사 위장 취약점이 발견되었습니다. +이 취약점은 CVE 번호 [CVE-2021-41819](https://nvd.nist.gov/vuln/detail/CVE-2021-41819)로 등록되었습니다. +Ruby를 갱신하는 것을 강력히 권장합니다. + +## 세부 내용 + +`CGI::Cookie.parse`의 구버전에서는 쿠키의 이름에 URL 디코딩을 적용했습니다. +공격자는 이 취약점을 통해 쿠키 이름의 보안 접두사를 위장해 취약한 애플리케이션을 속일 수 있습니다. + +이 수정으로 `CGI::Cookie.parse`는 더 이상 쿠키 이름에 URL 디코딩을 적용하지 않습니다. +사용하고 있는 쿠키 이름에 영숫자 이외의 문자가 URL 인코딩을 적용해 사용되었을 경우 호환되지 않으므로 주의하세요. + +이는 [CVE-2020-8184](https://nvd.nist.gov/vuln/detail/CVE-2020-8184)와 동일한 문제입니다. + +Ruby 2.7이나 3.0을 사용하고 있는 경우, + +* cgi gem의 버전을 0.3.1, 0.2.1, 0.1.1 또는 그 이상의 버전으로 갱신해 주세요. `gem update cgi` 명령으로 갱신할 수 있습니다. Bundler를 사용하고 있다면, `Gemfile`에 `gem "cgi", ">= 0.3.1"`를 추가해 주세요. +* 또는 Ruby를 2.7.5나 3.0.3으로 갱신해 주세요. + +Ruby 2.6을 사용하고 있는 경우, + +* Ruby를 2.6.9로 갱신해 주세요. *Ruby 2.6 이하에서는 `gem update cgi`를 사용할 수 없습니다.* + +## 해당 버전 + +* Ruby 2.6.8 이하 (해당 버전에서는 `gem update cgi`를 *사용할 수 없습니다*) +* cgi gem 0.1.0 이하(Ruby 2.7.5 이하에 내장된 버전) +* cgi gem 0.2.0 이하(Ruby 3.0.3 이하에 내장된 버전) +* cgi gem 0.3.0 이하 + +## 도움을 준 사람 + +이 문제를 발견해 준 [ooooooo_q](https://hackerone.com/ooooooo_q)에게 감사를 표합니다. + +## 수정 이력 + +* 2021-11-24 12:00:00 (UTC) 최초 공개 diff --git a/ko/news/_posts/2021-11-24-ruby-2-6-9-released.md b/ko/news/_posts/2021-11-24-ruby-2-6-9-released.md new file mode 100644 index 0000000000..76ca22f0cc --- /dev/null +++ b/ko/news/_posts/2021-11-24-ruby-2-6-9-released.md @@ -0,0 +1,59 @@ +--- +layout: news_post +title: "Ruby 2.6.9 릴리스" +author: "usa" +translator: "shia" +date: 2021-11-24 12:00:00 +0000 +lang: ko +--- + +Ruby 2.6.9가 릴리스되었습니다. + +이 릴리스는 보안 수정을 포함합니다. +자세한 사항은 아래 글을 확인해 보세요. + +* [CVE-2021-41817: 날짜 구문 분석 메서드의 정규표현식 서비스 거부(DoS) 취약점]({%link ko/news/_posts/2021-11-15-date-parsing-method-regexp-dos-cve-2021-41817.md %}) +* [CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장]({%link ko/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md %}) + +자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v2_6_8...v2_6_9)를 확인해 주세요. + +Ruby 2.6은 보안 유지보수 단계이며, 이는 2022년 3월 말에 종료됩니다. +해당 일자로 Ruby 2.6의 유지보수는 종료됩니다. +Ruby 3.0이나 2.7로 업그레이드할 계획을 세우기 바랍니다. + +## 다운로드 + +{% assign release = site.data.releases | where: "version", "2.6.9" | first %} + +* <{{ release.url.bz2 }}> + + SIZE: {{ release.size.bz2 }} + SHA1: {{ release.sha1.bz2 }} + SHA256: {{ release.sha256.bz2 }} + SHA512: {{ release.sha512.bz2 }} + +* <{{ release.url.gz }}> + + SIZE: {{ release.size.gz }} + SHA1: {{ release.sha1.gz }} + SHA256: {{ release.sha256.gz }} + SHA512: {{ release.sha512.gz }} + +* <{{ release.url.xz }}> + + SIZE: {{ release.size.xz }} + SHA1: {{ release.sha1.xz }} + SHA256: {{ release.sha256.xz }} + SHA512: {{ release.sha512.xz }} + +* <{{ release.url.zip }}> + + SIZE: {{ release.size.zip }} + SHA1: {{ release.sha1.zip }} + SHA256: {{ release.sha256.zip }} + SHA512: {{ release.sha512.zip }} + +## 릴리스 코멘트 + +많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다. +그들의 기여에 감사드립니다. diff --git a/ko/news/_posts/2021-11-24-ruby-2-7-5-released.md b/ko/news/_posts/2021-11-24-ruby-2-7-5-released.md new file mode 100644 index 0000000000..1f18eadc5e --- /dev/null +++ b/ko/news/_posts/2021-11-24-ruby-2-7-5-released.md @@ -0,0 +1,58 @@ +--- +layout: news_post +title: "Ruby 2.7.5 릴리스" +author: "usa" +translator: "shia" +date: 2021-11-24 12:00:00 +0000 +lang: ko +--- + +Ruby 2.7.5가 릴리스되었습니다. + +이 릴리스는 보안 수정을 포함합니다. +자세한 사항은 아래 글을 확인해 보세요. + +* [CVE-2021-41817: 날짜 구문 분석 메서드의 정규표현식 서비스 거부(DoS) 취약점]({%link ko/news/_posts/2021-11-15-date-parsing-method-regexp-dos-cve-2021-41817.md %}) +* [CVE-2021-41816: CGI.escape_html에서의 버퍼 오버런]({%link ko/news/_posts/2021-11-24-buffer-overrun-in-cgi-escape_html-cve-2021-41816.md %}) +* [CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장]({%link ko/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md %}) + +자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v2_7_4...v2_7_5)를 확인해 주세요. + +## 다운로드 + +{% assign release = site.data.releases | where: "version", "2.7.5" | first %} + +* <{{ release.url.bz2 }}> + + SIZE: {{ release.size.bz2 }} + SHA1: {{ release.sha1.bz2 }} + SHA256: {{ release.sha256.bz2 }} + SHA512: {{ release.sha512.bz2 }} + +* <{{ release.url.gz }}> + + SIZE: {{ release.size.gz }} + SHA1: {{ release.sha1.gz }} + SHA256: {{ release.sha256.gz }} + SHA512: {{ release.sha512.gz }} + +* <{{ release.url.xz }}> + + SIZE: {{ release.size.xz }} + SHA1: {{ release.sha1.xz }} + SHA256: {{ release.sha256.xz }} + SHA512: {{ release.sha512.xz }} + +* <{{ release.url.zip }}> + + SIZE: {{ release.size.zip }} + SHA1: {{ release.sha1.zip }} + SHA256: {{ release.sha256.zip }} + SHA512: {{ release.sha512.zip }} + +## 릴리스 코멘트 + +많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다. +그들의 기여에 감사드립니다. + +이 릴리스를 포함한 Ruby 2.7의 유지보수는 Ruby Association의 "Ruby 안정 버전에 관한 협의"에 기반해 이루어집니다. diff --git a/ko/news/_posts/2021-11-24-ruby-3-0-3-released.md b/ko/news/_posts/2021-11-24-ruby-3-0-3-released.md new file mode 100644 index 0000000000..982cda591c --- /dev/null +++ b/ko/news/_posts/2021-11-24-ruby-3-0-3-released.md @@ -0,0 +1,49 @@ +--- +layout: news_post +title: "Ruby 3.0.3 릴리스" +author: "nagachika" +translator: "shia" +date: 2021-11-24 12:00:00 +0000 +lang: ko +--- + +Ruby 3.0.3이 릴리스되었습니다. + +이 릴리스는 보안 수정을 포함합니다. +자세한 사항은 아래 글을 확인해 보세요. + +* [CVE-2021-41817: 날짜 구문 분석 메서드의 정규표현식 서비스 거부(DoS) 취약점]({%link ko/news/_posts/2021-11-15-date-parsing-method-regexp-dos-cve-2021-41817.md %}) +* [CVE-2021-41816: CGI.escape_html에서의 버퍼 오버런]({%link ko/news/_posts/2021-11-24-buffer-overrun-in-cgi-escape_html-cve-2021-41816.md %}) +* [CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장]({%link ko/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md %}) + +자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v3_0_2...v3_0_3)를 확인해 주세요. + +## 다운로드 + +{% assign release = site.data.releases | where: "version", "3.0.3" | first %} + +* <{{ release.url.gz }}> + + SIZE: {{ release.size.gz }} + SHA1: {{ release.sha1.gz }} + SHA256: {{ release.sha256.gz }} + SHA512: {{ release.sha512.gz }} + +* <{{ release.url.xz }}> + + SIZE: {{ release.size.xz }} + SHA1: {{ release.sha1.xz }} + SHA256: {{ release.sha256.xz }} + SHA512: {{ release.sha512.xz }} + +* <{{ release.url.zip }}> + + SIZE: {{ release.size.zip }} + SHA1: {{ release.sha1.zip }} + SHA256: {{ release.sha256.zip }} + SHA512: {{ release.sha512.zip }} + +## 릴리스 코멘트 + +많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다. +그들의 기여에 감사드립니다.