ruby · riseshia · Jan 4, 2023 · Dec 31, 2022 · Dec 31, 2022 · Dec 31, 2022
@@ -0,0 +1,35 @@
+---
+layout: news_post
+title: "CVE-2021-33621: CGI에서의 HTTP 응답 분할"
+author: "mame"
+translator: "shia"
+date: 2022-11-22 02:00:00 +0000
+tags: security
+lang: ko
+---
+
+HTTP 응답 분할 취약점에 대한 보안 수정을 포함하는 cgi gem 버전 0.3.5, 0.2.2, 0.1.0.2를 릴리스했습니다.
+이 취약점은 CVE 번호 [CVE-2021-33621](https://nvd.nist.gov/vuln/detail/CVE-2021-33621)로 등록되어 있습니다.
+
+## 세부 내용
+
+애플리케이션이 cgi gem을 사용해서 신뢰할 수 없는 사용자 입력으로부터 HTTP 응답을 생성할 때, 공격자는 악의 있는 HTTP 헤더, 본문을 삽입할 수 있습니다.
+
+또한, `CGI::Cookie` 객체의 내용이 올바른지 검사 되지 않았습니다. 애플리케이션이 사용자 입력으로부터 `CGI::Cookie` 객체를 생성할 때, 공격자는 `Set-Cookie` 헤더에 유효하지 않은 속성을 주입할 수 있습니다. 이러한 애플리케이션은 일반적이지 않습니다만, 예방 차원에서 `CGI::Cookie#initialize`가 인수를 검사하도록 변경했습니다.
+
+cgi gem의 버전을 0.3.5, 0.2.2, 0.1.0.2 또는 그 이상의 버전으로 갱신해 주세요. `gem update cgi` 명령으로 갱신할 수 있습니다.
+Bundler를 사용하고 있다면, `Gemfile`에 `gem "cgi", ">= 0.3.5"`를 추가해 주세요.
+
+## 해당 버전
+
+* cgi gem 0.3.3 이하
+* cgi gem 0.2.1 이하
+* cgi gem 0.1.1, 0.1.0.1, 0.1.0
+
+## 도움을 준 사람
+
+이 문제를 발견해 준 [Hiroshi Tokumaru](https://hackerone.com/htokumaru?type=user)에게 감사를 표합니다.
+
+## 수정 이력
+
+* 2022-11-22 02:00:00 (UTC) 최초 공개
@@ -0,0 +1,55 @@
+---
+layout: news_post
+title: "Ruby 2.7.7 릴리스"
+author: "usa"
+translator: "shia"
+date: 2022-11-24 12:00:00 +0000
+lang: ko
+---
+
+Ruby 2.7.7가 릴리스되었습니다.
+
+이 릴리스는 보안 수정을 포함합니다.
+자세한 사항은 아래 글을 확인해 보세요.
+
+* [CVE-2021-33621: CGI에서의 HTTP 응답 분할]({%link ko/news/_posts/2022-11-22-http-response-splitting-in-cgi-cve-2021-33621.md %})
+
+이 릴리스는 몇몇 빌드 문제 수정을 포함합니다. 이는 이전 버전들과 호환성 문제를 일으키지 않습니다.
+자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v2_7_6...v2_7_7)를 확인해 주세요.
+
+## 다운로드
+
+{% assign release = site.data.releases | where: "version", "2.7.7" | first %}
+
+* <{{ release.url.bz2 }}>
+
+      SIZE: {{ release.size.bz2 }}
+      SHA1: {{ release.sha1.bz2 }}
+      SHA256: {{ release.sha256.bz2 }}
+      SHA512: {{ release.sha512.bz2 }}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## 릴리스 코멘트
+
+많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다.
+그들의 기여에 감사드립니다.
@@ -0,0 +1,50 @@
+---
+layout: news_post
+title: "Ruby 3.0.5 릴리스"
+author: "usa"
+translator: "shia"
+date: 2022-11-24 12:00:00 +0000
+lang: ko
+---
+
+Ruby 3.0.5가 릴리스되었습니다.
+
+이 릴리스는 보안 수정을 포함합니다.
+자세한 사항은 아래 글을 확인해 보세요.
+
+* [CVE-2021-33621: CGI에서의 HTTP 응답 분할]({%link ko/news/_posts/2022-11-22-http-response-splitting-in-cgi-cve-2021-33621.md %})
+
+이 릴리스는 몇몇 버그 수정을 포함합니다.
+자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v3_0_4...v3_0_5)를 확인해 주세요.
+
+## 다운로드
+
+{% assign release = site.data.releases | where: "version", "3.0.5" | first %}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## 릴리스 코멘트
+
+많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다.
+그들의 기여에 감사드립니다.
+
+이 릴리스를 포함한 Ruby 3.0의 유지보수는 Ruby Association의 "Ruby 안정 버전에 관한 협의"에 기반해 이루어집니다.
@@ -0,0 +1,50 @@
+---
+layout: news_post
+title: "Ruby 3.1.3 릴리스"
+author: "nagachika"
+translator: "shia"
+date: 2022-11-24 12:00:00 +0000
+lang: ko
+---
+
+Ruby 3.1.3가 릴리스되었습니다.
+
+이 릴리스는 보안 수정을 포함합니다.
+자세한 사항은 아래 글을 확인해 보세요.
+
+* [CVE-2021-33621: CGI에서의 HTTP 응답 분할]({%link ko/news/_posts/2022-11-22-http-response-splitting-in-cgi-cve-2021-33621.md %})
+
+이 릴리스는 Xcode 14와 macOS 13(Ventura)에서의 빌드 실패에 대한 수정을 포함합니다.
+자세한 사항은 [관련 티켓](https://bugs.ruby-lang.org/issues/18912)을 확인해 주세요.
+
+자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v3_0_4...v3_0_5)를 확인해 주세요.
+
+## 다운로드
+
+{% assign release = site.data.releases | where: "version", "3.1.3" | first %}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## 릴리스 코멘트
+
+많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다.
+그들의 기여에 감사드립니다.