Ruby
-
2023-02 루비온레일즈 보안 업데이트 얼른 하세요.카테고리 없음 2023. 2. 21. 11:46
취약점 설명 Rails 라이브러리(Action Dispatch) 대상 정규 표현식을 통한 DoS 취약점이 공개되었습니다. - 변조된 쿠키 및 X-FORWARDED-HOST 헤더(CVE-2023-22792) - 변조된 IF-None-Match(CVE-2023-22795) 헤더 사용시 정규식 엔진에 catastrophic backtracking으로 프로세스가 많은 CPU와 메모리를 사용하여 DoS가 발생할 수 있습니다. 대응 방법 - 6.1.7.1 또는 7.0.4.1 이상으로 패치 - 패치가 불가능할 경우 앞단에서 X-FORWARDED-HOST 및 IF-None-Match 헤더를 필터링할 수 있도록 조치