Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Translate Ruby 2.6.9, 2.7.5, 3.0.3 released (ko) #2949

Merged
merged 5 commits into from
Jan 10, 2023
Merged
Show file tree
Hide file tree
Changes from all commits
Commits
File filter

Filter by extension

Filter by extension

Conversations
Failed to load comments.
Loading
Jump to
Jump to file
Failed to load files.
Loading
Diff view
Diff view
Original file line number Diff line number Diff line change
@@ -0,0 +1,36 @@
---
layout: news_post
title: "CVE-2021-41816: CGI.escape_html에서의 버퍼 오버런"
author: "mame"
translator: "shia"
date: 2021-11-24 12:00:00 +0000
tags: security
lang: ko
---

CGI.escape_html에서 버퍼 오버런 취약점이 발견되었습니다.
이 취약점은 CVE 번호 [CVE-2021-41816](https://nvd.nist.gov/vuln/detail/CVE-2021-41816)으로 등록되었습니다.
Ruby를 갱신하는 것을 강력히 권장합니다.

## 세부 내용

이 보안 취약점은 `long` 타입으로 4바이트를 받는, Windows 등의 환경에서 `CGI.escape_html`에 700MB 이상의 매우 긴 문자열을 넘길 경우 버퍼 오버플로를 발생시킵니다.

cgi gem의 버전을 0.3.1, 0.2.1, 0.1.1 또는 그 이상의 버전으로 갱신해 주세요. `gem update cgi` 명령으로 갱신할 수 있습니다. Bundler를 사용하고 있다면, `Gemfile`에 `gem "cgi", ">= 0.3.1"`를 추가해 주세요.
또는 Ruby를 2.7.5나 3.0.3으로 갱신해 주세요.

이 문제는 Ruby 2.7에서 발생했으므로, Ruby 2.6에 내장되어있는 cgi 버전은 영향을 받지 않습니다.

## 해당 버전

* cgi gem 0.1.0 이하(Ruby 2.7.5 이하에 내장된 버전)
* cgi gem 0.2.0 이하(Ruby 3.0.3 이하에 내장된 버전)
* cgi gem 0.3.0 이하

## 도움을 준 사람

이 문제를 발견해 준 [chamal](https://hackerone.com/chamal)에게 감사를 표합니다.

## 수정 이력

* 2021-11-24 12:00:00 (UTC) 최초 공개
Original file line number Diff line number Diff line change
@@ -0,0 +1,47 @@
---
layout: news_post
title: "CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장"
author: "mame"
translator: "shia"
date: 2021-11-24 12:00:00 +0000
tags: security
lang: ko
---

CGI::Cookie.parse에서 쿠키 접두사 위장 취약점이 발견되었습니다.
이 취약점은 CVE 번호 [CVE-2021-41819](https://nvd.nist.gov/vuln/detail/CVE-2021-41819)로 등록되었습니다.
Ruby를 갱신하는 것을 강력히 권장합니다.

## 세부 내용

`CGI::Cookie.parse`의 구버전에서는 쿠키의 이름에 URL 디코딩을 적용했습니다.
공격자는 이 취약점을 통해 쿠키 이름의 보안 접두사를 위장해 취약한 애플리케이션을 속일 수 있습니다.

이 수정으로 `CGI::Cookie.parse`는 더 이상 쿠키 이름에 URL 디코딩을 적용하지 않습니다.
사용하고 있는 쿠키 이름에 영숫자 이외의 문자가 URL 인코딩을 적용해 사용되었을 경우 호환되지 않으므로 주의하세요.

이는 [CVE-2020-8184](https://nvd.nist.gov/vuln/detail/CVE-2020-8184)와 동일한 문제입니다.

Ruby 2.7이나 3.0을 사용하고 있는 경우,

* cgi gem의 버전을 0.3.1, 0.2.1, 0.1.1 또는 그 이상의 버전으로 갱신해 주세요. `gem update cgi` 명령으로 갱신할 수 있습니다. Bundler를 사용하고 있다면, `Gemfile`에 `gem "cgi", ">= 0.3.1"`를 추가해 주세요.
* 또는 Ruby를 2.7.5나 3.0.3으로 갱신해 주세요.

Ruby 2.6을 사용하고 있는 경우,

* Ruby를 2.6.9로 갱신해 주세요. *Ruby 2.6 이하에서는 `gem update cgi`를 사용할 수 없습니다.*

## 해당 버전

* Ruby 2.6.8 이하 (해당 버전에서는 `gem update cgi`를 *사용할 수 없습니다*)
* cgi gem 0.1.0 이하(Ruby 2.7.5 이하에 내장된 버전)
* cgi gem 0.2.0 이하(Ruby 3.0.3 이하에 내장된 버전)
* cgi gem 0.3.0 이하

## 도움을 준 사람

이 문제를 발견해 준 [ooooooo_q](https://hackerone.com/ooooooo_q)에게 감사를 표합니다.

## 수정 이력

* 2021-11-24 12:00:00 (UTC) 최초 공개
59 changes: 59 additions & 0 deletions ko/news/_posts/2021-11-24-ruby-2-6-9-released.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,59 @@
---
layout: news_post
title: "Ruby 2.6.9 릴리스"
author: "usa"
translator: "shia"
date: 2021-11-24 12:00:00 +0000
lang: ko
---

Ruby 2.6.9가 릴리스되었습니다.

이 릴리스는 보안 수정을 포함합니다.
자세한 사항은 아래 글을 확인해 보세요.

* [CVE-2021-41817: 날짜 구문 분석 메서드의 정규표현식 서비스 거부(DoS) 취약점]({%link ko/news/_posts/2021-11-15-date-parsing-method-regexp-dos-cve-2021-41817.md %})
* [CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장]({%link ko/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md %})

자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v2_6_8...v2_6_9)를 확인해 주세요.

Ruby 2.6은 보안 유지보수 단계이며, 이는 2022년 3월 말에 종료됩니다.
해당 일자로 Ruby 2.6의 유지보수는 종료됩니다.
Ruby 3.0이나 2.7로 업그레이드할 계획을 세우기 바랍니다.

## 다운로드

{% assign release = site.data.releases | where: "version", "2.6.9" | first %}

* <{{ release.url.bz2 }}>

SIZE: {{ release.size.bz2 }}
SHA1: {{ release.sha1.bz2 }}
SHA256: {{ release.sha256.bz2 }}
SHA512: {{ release.sha512.bz2 }}

* <{{ release.url.gz }}>

SIZE: {{ release.size.gz }}
SHA1: {{ release.sha1.gz }}
SHA256: {{ release.sha256.gz }}
SHA512: {{ release.sha512.gz }}

* <{{ release.url.xz }}>

SIZE: {{ release.size.xz }}
SHA1: {{ release.sha1.xz }}
SHA256: {{ release.sha256.xz }}
SHA512: {{ release.sha512.xz }}

* <{{ release.url.zip }}>

SIZE: {{ release.size.zip }}
SHA1: {{ release.sha1.zip }}
SHA256: {{ release.sha256.zip }}
SHA512: {{ release.sha512.zip }}

## 릴리스 코멘트

많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다.
그들의 기여에 감사드립니다.
58 changes: 58 additions & 0 deletions ko/news/_posts/2021-11-24-ruby-2-7-5-released.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,58 @@
---
layout: news_post
title: "Ruby 2.7.5 릴리스"
author: "usa"
translator: "shia"
date: 2021-11-24 12:00:00 +0000
lang: ko
---

Ruby 2.7.5가 릴리스되었습니다.

이 릴리스는 보안 수정을 포함합니다.
자세한 사항은 아래 글을 확인해 보세요.

* [CVE-2021-41817: 날짜 구문 분석 메서드의 정규표현식 서비스 거부(DoS) 취약점]({%link ko/news/_posts/2021-11-15-date-parsing-method-regexp-dos-cve-2021-41817.md %})
* [CVE-2021-41816: CGI.escape_html에서의 버퍼 오버런]({%link ko/news/_posts/2021-11-24-buffer-overrun-in-cgi-escape_html-cve-2021-41816.md %})
* [CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장]({%link ko/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md %})

자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v2_7_4...v2_7_5)를 확인해 주세요.

## 다운로드

{% assign release = site.data.releases | where: "version", "2.7.5" | first %}

* <{{ release.url.bz2 }}>

SIZE: {{ release.size.bz2 }}
SHA1: {{ release.sha1.bz2 }}
SHA256: {{ release.sha256.bz2 }}
SHA512: {{ release.sha512.bz2 }}

* <{{ release.url.gz }}>

SIZE: {{ release.size.gz }}
SHA1: {{ release.sha1.gz }}
SHA256: {{ release.sha256.gz }}
SHA512: {{ release.sha512.gz }}

* <{{ release.url.xz }}>

SIZE: {{ release.size.xz }}
SHA1: {{ release.sha1.xz }}
SHA256: {{ release.sha256.xz }}
SHA512: {{ release.sha512.xz }}

* <{{ release.url.zip }}>

SIZE: {{ release.size.zip }}
SHA1: {{ release.sha1.zip }}
SHA256: {{ release.sha256.zip }}
SHA512: {{ release.sha512.zip }}

## 릴리스 코멘트

많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다.
그들의 기여에 감사드립니다.

이 릴리스를 포함한 Ruby 2.7의 유지보수는 Ruby Association의 "Ruby 안정 버전에 관한 협의"에 기반해 이루어집니다.
49 changes: 49 additions & 0 deletions ko/news/_posts/2021-11-24-ruby-3-0-3-released.md
Original file line number Diff line number Diff line change
@@ -0,0 +1,49 @@
---
layout: news_post
title: "Ruby 3.0.3 릴리스"
author: "nagachika"
translator: "shia"
date: 2021-11-24 12:00:00 +0000
lang: ko
---

Ruby 3.0.3이 릴리스되었습니다.

이 릴리스는 보안 수정을 포함합니다.
자세한 사항은 아래 글을 확인해 보세요.

* [CVE-2021-41817: 날짜 구문 분석 메서드의 정규표현식 서비스 거부(DoS) 취약점]({%link ko/news/_posts/2021-11-15-date-parsing-method-regexp-dos-cve-2021-41817.md %})
* [CVE-2021-41816: CGI.escape_html에서의 버퍼 오버런]({%link ko/news/_posts/2021-11-24-buffer-overrun-in-cgi-escape_html-cve-2021-41816.md %})
* [CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장]({%link ko/news/_posts/2021-11-24-cookie-prefix-spoofing-in-cgi-cookie-parse-cve-2021-41819.md %})

자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v3_0_2...v3_0_3)를 확인해 주세요.

## 다운로드

{% assign release = site.data.releases | where: "version", "3.0.3" | first %}

* <{{ release.url.gz }}>

SIZE: {{ release.size.gz }}
SHA1: {{ release.sha1.gz }}
SHA256: {{ release.sha256.gz }}
SHA512: {{ release.sha512.gz }}

* <{{ release.url.xz }}>

SIZE: {{ release.size.xz }}
SHA1: {{ release.sha1.xz }}
SHA256: {{ release.sha256.xz }}
SHA512: {{ release.sha512.xz }}

* <{{ release.url.zip }}>

SIZE: {{ release.size.zip }}
SHA1: {{ release.sha1.zip }}
SHA256: {{ release.sha256.zip }}
SHA512: {{ release.sha512.zip }}

## 릴리스 코멘트

많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다.
그들의 기여에 감사드립니다.