취약점이 수정된 Ruby 3.0.1 업데이트

Ruby 프로그래밍 언어 3.0.1, 2.7.3, 2.6.7 및 2.5.9의 수정 릴리스가 만들어졌으며, 이 릴리스에서는 두 가지 취약점이 제거되었습니다.

• CVE-2021-28965는 특별히 제작된 XML 문서를 구문 분석하고 직렬화할 때 구조가 원본과 일치하지 않는 잘못된 XML 문서가 생성될 수 있는 기본 제공 REXML 모듈의 취약점입니다. 취약점의 심각도는 상황에 따라 크게 다르지만, REXML을 사용하는 일부 애플리케이션을 공격하는 것이 가능합니다.
• CVE-2021-28966 - 플랫폼별 문제 Windows 이 취약점은 Ruby 프로세스가 실행되는 사용자의 권한으로 쓰기 가능한 파일 시스템 영역에 임의의 디렉터리나 파일을 생성할 수 있도록 허용합니다. 이 문제는 Dir.mktmpdir 메서드의 접두사 처리 방식이 잘못되어 "..\\."와 같은 구문으로 대체될 수 있기 때문에 발생합니다. 이 공격을 수행하려면 프로세스가 접두사 값을 생성할 때 외부 데이터를 사용해야 합니다.

출처 : opennet.ru