ruby · riseshia · Jan 10, 2023 · Jan 1, 2023 · Jan 1, 2023 · Jan 1, 2023
@@ -0,0 +1,35 @@
+---
+layout: news_post
+title: "CVE-2022-28739: String에서 Float로 변환할 때의 버퍼 오버런"
+author: "mame"
+translator: "shia"
+date: 2022-04-12 12:00:00 +0000
+tags: security
+lang: ko
+---
+
+String에서 Float로 변환하는 알고리즘에서 버퍼 오버런 취약점이 발견되었습니다.
+이 취약점은 CVE 번호 [CVE-2022-28739](https://nvd.nist.gov/vuln/detail/CVE-2022-28739)로 등록되었습니다.
+Ruby를 갱신하는 것을 강력히 권장합니다.
+
+## 세부 내용
+
+String에서 Float로 변환하는 내부 함수의 버그로 인해, `Kernel#Float`와 `Sting#to_f` 등의 몇몇 메서드가 버퍼를 과도하게 읽어 들일 수 있습니다.
+일반적으로는 세그먼트 폴트가 발생해 프로세스가 종료됩니다만, 제한된 환경에서 범위 밖의 메모리를 읽기 위해 악용될 수 있습니다.
+
+Ruby를 2.6.10, 2.7.6, 3.0.4, 3.1.2로 갱신해 주세요.
+
+## 해당 버전
+
+* Ruby 2.6.9 이하
+* Ruby 2.7.5 이하
+* Ruby 3.0.3 이하
+* Ruby 3.1.1 이하
+
+## 도움을 준 사람
+
+이 문제를 발견해 준 [piao](https://hackerone.com/piao?type=user)에게 감사를 표합니다.
+
+## 수정 이력
+
+* 2022-04-12 12:00:00 (UTC) 최초 공개
@@ -0,0 +1,35 @@
+---
+layout: news_post
+title: "CVE-2022-28738: 정규표현식 컴파일에서의 중복 할당 해제"
+author: "mame"
+translator: "shia"
+date: 2022-04-12 12:00:00 +0000
+tags: security
+lang: ko
+---
+
+정규표현식 컴파일 중에 중복 할당 해제 취약점이 발견되었습니다.
+이 취약점은 CVE 번호 [CVE-2022-28738](https://nvd.nist.gov/vuln/detail/CVE-2022-28738)로 등록되었습니다.
+Ruby를 갱신하는 것을 강력히 권장합니다.
+
+## 세부 내용
+
+정규표현식 컴파일 처리의 버그로 인해, 특정 조건을 만족하는 문자열을 사용해 Regexp 객체를 생성하면 같은 메모리를 두 번 할당 해제할 가능성이 있습니다. 이는 "중복 할당 해제" 취약점으로 알려져 있습니다.
+일반적으로는 신뢰할 수 없는 입력으로부터 정규표현식을 생성하는 것은 안전하지 않다고 여겨집니다. 하지만 이번 문제의 경우 종합적으로 판단한 결과, 취약점으로서 취급하기로 했습니다.
+
+Ruby를 3.0.4, 3.1.2로 갱신해 주세요.
+
+## 해당 버전
+
+* Ruby 3.0.3 이하
+* Ruby 3.1.1 이하
+
+Ruby 2.6과 2.7 버전대는 영향을 받지 않습니다.
+
+## 도움을 준 사람
+
+이 문제를 발견해 준 [piao](https://hackerone.com/piao?type=user)에게 감사를 표합니다.
+
+## 수정 이력
+
+* 2022-04-12 12:00:00 (UTC) 최초 공개
@@ -0,0 +1,59 @@
+---
+layout: news_post
+title: "Ruby 2.6.10 릴리스"
+author: "usa and mame"
+translator: "shia"
+date: 2022-04-12 12:00:00 +0000
+lang: ko
+---
+
+Ruby 2.6.10이 릴리스되었습니다.
+
+이 릴리스는 보안 수정을 포함합니다.
+자세한 사항은 아래 글을 확인해 보세요.
+
+* [CVE-2022-28739: String에서 Float로 변환할 때의 버퍼 오버런]({%link ko/news/_posts/2022-04-12-buffer-overrun-in-string-to-float-cve-2022-28739.md %})
+
+이 릴리스는 매우 오래된 컴파일러로 빌드할 때의 문제 수정과 date 라이브러리의 회귀 버그 수정을 포함합니다.
+자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v2_6_9...v2_6_10)를 확인해 주세요.
+
+이 릴리스로 Ruby 2.6은 EOL이 됩니다. 다르게 말하면, Ruby 2.6 버전대의 마지막 릴리스가 될 예정입니다.
+보안 취약점이 발견되더라도 2.6.11은 릴리스되지 않을 것입니다. (심각한 회귀 버그가 발생하는 경우는 예외입니다.)
+모든 Ruby 2.6 사용자는 Ruby 3.1, 3.0, 2.7로 즉시 업그레이드하기 바랍니다.
+
+## 다운로드
+
+{% assign release = site.data.releases | where: "version", "2.6.10" | first %}
+
+* <{{ release.url.bz2 }}>
+
+      SIZE: {{ release.size.bz2 }}
+      SHA1: {{ release.sha1.bz2 }}
+      SHA256: {{ release.sha256.bz2 }}
+      SHA512: {{ release.sha512.bz2 }}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## 릴리스 코멘트
+
+많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다.
+그들의 기여에 감사드립니다.
@@ -0,0 +1,64 @@
+---
+layout: news_post
+title: "Ruby 2.7.6 릴리스"
+author: "usa and mame"
+translator: "shia"
+date: 2022-04-12 12:00:00 +0000
+lang: ko
+---
+
+Ruby 2.7.6이 릴리스되었습니다.
+
+이 릴리스는 보안 수정을 포함합니다.
+자세한 사항은 아래 글을 확인해 보세요.
+
+* [CVE-2022-28739: String에서 Float로 변환할 때의 버퍼 오버런]({%link ko/news/_posts/2022-04-12-buffer-overrun-in-string-to-float-cve-2022-28739.md %})
+
+이 릴리스는 몇몇 버그 수정을 포함합니다.
+자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v2_7_5...v2_7_6)를 확인해 주세요.
+
+이 릴리스 이후로 Ruby 2.7은 일반 유지보수 단계가 종료되고, 보안 유지보수 단계가 됩니다.
+즉, 보안 수정을 제외한 버그 수정은 Ruby 2.7로 백포트되지 않습니다.
+
+보안 유지보수 단계의 기간은 1년으로 계획되어 있습니다.
+이 기간이 끝나면 Ruby 2.7의 공식 지원도 종료되어 EOL이 됩니다.
+그러므로 Ruby 3.0이나 3.1로 업그레이드할 계획을 세우기 바랍니다.
+
+## 다운로드
+
+{% assign release = site.data.releases | where: "version", "2.7.6" | first %}
+
+* <{{ release.url.bz2 }}>
+
+      SIZE: {{ release.size.bz2 }}
+      SHA1: {{ release.sha1.bz2 }}
+      SHA256: {{ release.sha256.bz2 }}
+      SHA512: {{ release.sha512.bz2 }}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## 릴리스 코멘트
+
+많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다.
+그들의 기여에 감사드립니다.
+
+이 릴리스를 포함한 Ruby 2.7의 유지보수는 Ruby Association의 "Ruby 안정 버전에 관한 협의"에 기반해 이루어집니다.
@@ -0,0 +1,48 @@
+---
+layout: news_post
+title: "Ruby 3.0.4 릴리스"
+author: "nagachika and mame"
+translator: "shia"
+date: 2022-04-12 12:00:00 +0000
+lang: ko
+---
+
+Ruby 3.0.4가 릴리스되었습니다.
+
+이 릴리스는 보안 수정을 포함합니다.
+자세한 사항은 아래 글을 확인해보세요.
+
+* [CVE-2022-28738: 정규표현식 컴파일에서의 중복 할당 해제]({%link ko/news/_posts/2022-04-12-double-free-in-regexp-compilation-cve-2022-28738.md %})
+* [CVE-2022-28739: String에서 Float로 변환할 때의 버퍼 오버런]({%link ko/news/_posts/2022-04-12-buffer-overrun-in-string-to-float-cve-2022-28739.md %})
+
+자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v3_0_3...v3_0_4)를 확인해주세요.
+
+## 다운로드
+
+{% assign release = site.data.releases | where: "version", "3.0.4" | first %}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## 릴리스 코멘트
+
+많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다.
+그들의 기여에 감사드립니다.
@@ -0,0 +1,48 @@
+---
+layout: news_post
+title: "Ruby 3.1.2 릴리스"
+author: "naruse and mame"
+translator: "shia"
+date: 2022-04-12 12:00:00 +0000
+lang: ko
+---
+
+Ruby 3.1.2가 릴리스되었습니다.
+
+이 릴리스는 보안 수정을 포함합니다.
+자세한 사항은 아래 글을 확인해보세요.
+
+* [CVE-2022-28738: 정규표현식 컴파일에서의 중복 할당 해제]({%link ko/news/_posts/2022-04-12-double-free-in-regexp-compilation-cve-2022-28738.md %})
+* [CVE-2022-28739: String에서 Float로 변환할 때의 버퍼 오버런]({%link ko/news/_posts/2022-04-12-buffer-overrun-in-string-to-float-cve-2022-28739.md %})
+
+자세한 사항은 [커밋 로그](https://github.com/ruby/ruby/compare/v3_1_1...v3_1_2)를 확인해주세요.
+
+## 다운로드
+
+{% assign release = site.data.releases | where: "version", "3.1.2" | first %}
+
+* <{{ release.url.gz }}>
+
+      SIZE: {{ release.size.gz }}
+      SHA1: {{ release.sha1.gz }}
+      SHA256: {{ release.sha256.gz }}
+      SHA512: {{ release.sha512.gz }}
+
+* <{{ release.url.xz }}>
+
+      SIZE: {{ release.size.xz }}
+      SHA1: {{ release.sha1.xz }}
+      SHA256: {{ release.sha256.xz }}
+      SHA512: {{ release.sha512.xz }}
+
+* <{{ release.url.zip }}>
+
+      SIZE: {{ release.size.zip }}
+      SHA1: {{ release.sha1.zip }}
+      SHA256: {{ release.sha256.zip }}
+      SHA512: {{ release.sha512.zip }}
+
+## 릴리스 코멘트
+
+많은 커미터, 개발자, 버그를 보고해 준 사용자들이 이 릴리스를 만드는 데 도움을 주었습니다.
+그들의 기여에 감사드립니다.