@@ -5,34 +5,105 @@ lang: ko
55---
66
77Ruby와 관련한 보안이슈에 대해 정보를 공유하는 곳입니다.
8+ {: .summary}
89
9- ### 문제점 알리기
10+ ### 보안 취약점 알리기
1011
1112보안상 취약한 부분이나 심각한 문제를 야기할 수 있는 부분에 대해서는
12- [ security@ruby-lang.org ] ( mailto:security@ruby-lang.org ) 를 통해 알려주십시오. 이는
13- 비공개 메일링 리스트로서 운영되고 있으며 보고된 문제에 대한 확인과 해결책이 이루어진 다음 일반에게 정보를 공개하고 있습니다.
14-
15- 여러분께서 알려주신 문제점은 더욱 향상된 Ruby를 개발하는데 있어 중요한 자료가 됩니다. 혹 문제점이 발견되었을 경우에는
16- 개인적인 블로그나 기타 게시판을 이용하기 보다는 비공개 메일링 리스트
17- [ security@ruby-lang.org ] ( mailto:security@ruby-lang.org ) 를 통해 알려주시면
18- 감사하겠습니다.
19-
20- 보고 방식에 관해서는 [ redmine wiki] [ 1 ] 를 참고하시기 바랍니다.
13+ security@ruby-lang.org ([ the PGP public key] ( /security.asc ) )로 메일을 보내주십시오. 이는
14+ 비공개 메일링 리스트로 운영되고 있으며 보고된 문제에 대한 확인과 해결책이 이루어진 다음 일반에게 정보를 공개하고 있습니다.
2115
2216### 알려진 취약점
2317
2418다음과 같은 보안 취약점이 보고된 바 있습니다.
2519
26- * [ WEBrick XSS취약점] [ 2 ] 2010년 8월 16일 공개
27- * [ WEBrick::이스케이프 시퀀스 취약점] [ 3 ] 2010년 1월 10일 공개
28- * [ 임의의 코드를 실행할 수 있는 보안 취약성] [ 4 ] 2008년 6월 20일 공개
20+ * [ 부동소수점 파싱할 때 힙 오버플로 발생
21+ (CVE-2013 -4164)] ( /ko/news/2013/11/22/heap-overflow-in-floating-point-parsing-cve-2013-4164/ )
22+ 2013년 11월 22일 공개
23+ * [ Hostname check bypassing vulnerability in SSL client
24+ (CVE-2013 -4073)] ( /en/news/2013/06/27/hostname-check-bypassing-vulnerability-in-openssl-client-cve-2013-4073/ )
25+ 2013년 6월 27일 공개
26+ * [ Object taint bypassing in DL and Fiddle in Ruby
27+ (CVE-2013 -2065)] ( /en/news/2013/05/14/taint-bypass-dl-fiddle-cve-2013-2065/ )
28+ 2013년 5월 14일 공개
29+ * [ Entity expansion DoS vulnerability in REXML (XML bomb,
30+ CVE-2013 -1821)] [ 1 ]
31+ 2013년 2월 22일 공개
32+ * [ Denial of Service and Unsafe Object Creation Vulnerability in JSON
33+ (CVE-2013 -0269)] [ 2 ]
34+ 2013년 2월 22일 공개
35+ * [ XSS exploit of RDoc documentation generated by rdoc
36+ (CVE-2013 -0256)] [ 3 ]
37+ 2013년 2월 6일 공개
38+ * [ Hash-flooding DoS vulnerability for ruby 1.9 (CVE-2012 -5371)] [ 4 ]
39+ 2012년 10월 10일 공개
40+ * [ Unintentional file creation caused by inserting a illegal NUL
41+ character (CVE-2012 -4522)] [ 5 ]
42+ 2012년 10월 12일 공개
43+ * [ $SAFE escaping vulnerability about Exception#to\_ s / NameError#to\_ s
44+ (CVE-2012 -4464, CVE-2012 -4466)] [ 6 ]
45+ 2012년 10월 12일 공개
46+ * [ Security Fix for RubyGems: SSL server verification failure for remote
47+ repository] [ 7 ] 2012년 4월 20일 공개
48+ * [ Security Fix for Ruby OpenSSL module: Allow 0/n splitting as a
49+ prevention for the TLS BEAST attack] [ 8 ]
50+ 2012년 2월 16일 공개
51+ * [ Denial of service attack was found for Ruby\' s Hash algorithm
52+ (CVE-2011 -4815)] [ 9 ]
53+ 2011년 12월 28일 공개
54+ * [ Exception methods can bypass $SAFE] [ 10 ]
55+ 2011년 2월 18일 공개
56+ * [ FileUtils is vulnerable to symlink race attacks] [ 11 ]
57+ 2011년 2월 18일 공개
58+ * [ WEBrick XSS취약점 (CVE-2010 -0541)] [ 12 ]
59+ 2010년 8월 16일 공개
60+ * [ Buffer over-run in ARGF.inplace\_ mode=] [ 13 ]
61+ 2010년 7월 2일 공개
62+ * [ WEBrick::이스케이프 시퀀스 취약점] [ 14 ]
63+ 2010년 1월 10일 공개
64+ * [ Heap overflow in String (CVE-2009 -4124)] [ 15 ]
65+ 2009년 12월 7일 공개
66+ * [ DoS vulnerability in
67+ BigDecimal] ( /en/news/2009/06/09/dos-vulnerability-in-bigdecimal/ )
68+ 2009년 6월 9일 공개
69+ * [ DoS vulnerability in
70+ REXML] ( /en/news/2008/08/23/dos-vulnerability-in-rexml/ )
71+ 2008년 8월 23일 공개
72+ * [ Multiple vulnerabilities in
73+ Ruby] ( /en/news/2008/08/08/multiple-vulnerabilities-in-ruby/ )
74+ 2008년 8월 8일 공개
75+ * [ 임의의 코드를 실행할 수 있는 보안
76+ 취약성] ( /ko/news/2008/06/23/arbitrary-code-execution-vulnerabilities )
77+ 2008년 6월 20일 공개
78+ * [ File access vulnerability of
79+ WEBrick] ( /en/news/2008/03/03/webrick-file-access-vulnerability/ )
80+ 2008년 5월 3일 공개
81+ * [ Net::HTTPS
82+ Vulnerability] ( /en/news/2007/10/04/net-https-vulnerability/ )
83+ 2007년 10월 4일 공개
84+ * [ Another DoS Vulnerability in CGI
85+ Library] ( /en/news/2006/12/04/another-dos-vulnerability-in-cgi-library/ )
86+ 2006년 11월 3일 공개
87+ * [ Ruby vulnerability in the safe level
88+ settings] ( /en/news/2005/10/03/ruby-vulnerability-in-the-safe-level-settings/ )
89+ 2005년 10월 2일 공개
2990
30- 이외의 좀 더 자세한 사항은 [ 영문 홈페이지 ] [ 5 ] 를 참조하시기 바랍니다.
91+ 좀 더 자세한 사항은 [ 영문 페이지 ] ( /en/security/ ) 를 참조하시기 바랍니다.
3192
3293
94+ [ 1 ] : /en/news/2013/02/22/rexml-dos-2013-02-22/
95+ [ 2 ] : /en/news/2013/02/22/json-dos-cve-2013-0269/
96+ [ 3 ] : /en/news/2013/02/06/rdoc-xss-cve-2013-0256/
97+ [ 4 ] : /en/news/2012/11/09/ruby19-hashdos-cve-2012-5371/
98+ [ 5 ] : /en/news/2012/10/12/poisoned-NUL-byte-vulnerability/
99+ [ 6 ] : /en/news/2012/10/12/cve-2012-4464-cve-2012-4466/
100+ [ 7 ] : /en/news/2012/04/20/ruby-1-9-3-p194-is-released/
101+ [ 8 ] : /en/news/2012/02/16/security-fix-for-ruby-openssl-module-allow-0n-splitting-as-a-prevention-for-the-tls-beast-attack-/
102+ [ 9 ] : /en/news/2011/12/28/denial-of-service-attack-was-found-for-rubys-hash-algorithm-cve-2011-4815/
103+ [ 10 ] : /en/news/2011/02/18/exception-methods-can-bypass-safe/
104+ [ 11 ] : /en/news/2011/02/18/fileutils-is-vulnerable-to-symlink-race-attacks/
105+ [ 12 ] : /ko/news/2010/08/16/webrick-xss-cve-2010-0541/
106+ [ 13 ] : /en/news/2010/07/02/ruby-1-9-1-p429-is-released/
107+ [ 14 ] : /ko/news/2010/01/15/webrick-escape-sequence-injection/
108+ [ 15 ] : /en/news/2009/12/07/heap-overflow-in-string/
33109
34- [ 1 ] : https://bugs.ruby-lang.org/projects/ruby/wiki
35- [ 2 ] : /ko/news/2010/08/16/webrick-xss-cve-2010-0541/ " CVE-2010-0541 "
36- [ 3 ] : /ko/news/2010/01/15/webrick-escape-sequence-injection/
37- [ 4 ] : /ko/news/2008/06/23/arbitrary-code-execution-vulnerabilities/
38- [ 5 ] : /en/security
0 commit comments