Translate "CVE-2024-27280, CVE-2024-27281" (ko) (#3205)

riseshia · yous · web-flow · commit df6d4504341d · 2024-03-25T19:41:25.000+09:00
* cp {en,ko}/news/_posts/2024-03-21-{buffer-overread-cve-2024-27280,rce-rdoc-cve-2024-27281}.md * Translate cves * Apply suggestions from code review Co-authored-by: Chayoung You <yousbe@gmail.com> --------- Co-authored-by: Chayoung You <yousbe@gmail.com>
diff --git a/ko/news/_posts/2024-03-21-buffer-overread-cve-2024-27280.md b/ko/news/_posts/2024-03-21-buffer-overread-cve-2024-27280.md
@@ -0,0 +1,45 @@
+---
+layout: news_post
+title: "CVE-2024-27280: StringIO에서 버퍼 초과 읽기 취약점"
+author: "hsbt"
+translator: "shia"
+date: 2024-03-21 4:00:00 +0000
+tags: security
+lang: ko
+---
+
+버퍼 초과 읽기 취약점에 대한 보안 수정이 포함된 StringIO gem 버전 3.0.1.1과 3.0.1.2를 릴리스했습니다.
+이 취약점에는 CVE 식별자 [CVE-2024-27280](https://www.cve.org/CVERecord?id=CVE-2024-27280)이 할당되었습니다.
+
+## 세부 내용
+
+Ruby 3.0.x부터 3.0.6까지, 3.1.x부터 3.1.4까지 함께 배포된 StringIO 3.0.1에서 문제가 발견되었습니다.
+
+StringIO의 `ungetbyte`와 `ungetc` 메서드는 문자열의 끝을 넘어서도 읽을 수 있으며, 이어서 호출되는 `StringIO.gets`는 메모리의 값을 반환할 수 있습니다.
+
+이 취약점은 StringIO 3.0.3과 그 이후, Ruby 3.2.x와 그 이후 버전에는 영향이 없습니다.
+
+## 권장 조치
+
+StringIO gem을 3.0.3이나 그 이상으로 업데이트하는 것이 좋습니다. 이전 Ruby 버전대에 포함된 버전과의 호환성을 보장하기 위해 다음과 같이 업데이트할 수 있습니다.
+
+* Ruby 3.0 사용자: `stringio` 3.0.1.1로 업데이트
+* Ruby 3.1 사용자: `stringio` 3.0.1.2로 업데이트
+
+주의: StringIO 3.0.1.2는 이 취약점뿐만 아니라 [[Bug #19389]](https://github.com/ruby/ruby/commit/1d24a931c458c93463da1d5885f33edef3677cc2)의 버그 수정도 포함하고 있습니다.
+
+`gem update stringio`를 사용하여 업데이트할 수 있습니다. bundler를 사용하는 경우 `gem "stringio", ">= 3.0.1.2"`를 `Gemfile`에 추가하세요.
+
+## 해당 버전
+
+* Ruby 3.0.6과 그 이하
+* Ruby 3.1.4와 그 이하
+* StringIO gem 3.0.2와 그 이하
+
+## 도움을 준 사람
+
+이 문제를 발견해 준 [david_h1](https://hackerone.com/david_h1?type=user)에게 감사를 표합니다.
+
+## 수정 이력
+
+* 2024-03-21 04:00:00 (UTC) 최초 공개
diff --git a/ko/news/_posts/2024-03-21-rce-rdoc-cve-2024-27281.md b/ko/news/_posts/2024-03-21-rce-rdoc-cve-2024-27281.md
@@ -0,0 +1,48 @@
+---
+layout: news_post
+title: "CVE-2024-27281: RDoc에서 .rdoc_options 사용 시의 RCE 취약점"
+author: "hsbt"
+translator: "shia"
+date: 2024-03-21 4:00:00 +0000
+tags: security
+lang: ko
+---
+
+RCE 취약점에 대한 보안 수정이 포함된 RDoc gem 버전 6.3.4.1, 6.4.1.1, 6.5.1.1과 6.6.3.1을 릴리스했습니다.
+이 취약점에는 CVE 식별자 [CVE-2024-27281](https://www.cve.org/CVERecord?id=CVE-2024-27281)이 할당되었습니다.
+
+## 세부 내용
+
+Ruby 3.x부터 3.3.0까지 함께 배포된 RDoc 6.3.3부터 6.6.2까지 문제가 발견되었습니다.
+
+(RDoc 설정에 사용되는) `.rdoc_options`를 YAML 파일로 파싱할 때, 복원할 수 있는 클래스에 대한 제한이 없기 때문에, 객체 주입 및 그로 인한 원격 코드 실행이 가능합니다.
+
+문서 캐시를 읽어올 때도 조작된 캐시가 있을 경우, 객체 주입 및 그로 인한 원격 코드 실행이 가능합니다.
+
+## 권장 조치
+
+RDoc gem을 6.6.3.1이나 그 이상으로 업데이트하는 것이 좋습니다. 이전 Ruby 버전대에 포함된 버전과의 호환성을 보장하기 위해 다음과 같이 업데이트할 수 있습니다.
+
+* Ruby 3.0 사용자: `rdoc` 6.3.4.1로 업데이트
+* Ruby 3.1 사용자: `rdoc` 6.4.1.1로 업데이트
+* Ruby 3.2 사용자: `rdoc` 6.5.1.1로 업데이트
+
+`gem update rdoc`를 사용하여 업데이트할 수 있습니다. bundler를 사용하는 경우 `gem "rdoc", ">= 6.6.3.1"`을 `Gemfile`에 추가하세요.
+
+주의: 6.3.4, 6.4.1, 6.5.1, 6.6.3은 부정확한 수정을 포함하고 있습니다. 이 대신 6.3.4.1, 6.4.1.1, 6.5.1.1, 6.6.3.1로 업데이트하세요.
+
+## 해당 버전
+
+* Ruby 3.0.6과 그 이하
+* Ruby 3.1.4와 그 이하
+* Ruby 3.2.3과 그 이하
+* Ruby 3.3.0
+* RDoc gem 6.3.3과 그 이하, 수정된 버전(6.3.4, 6.4.1, 6.5.1)을 제외한 6.4.0부터 6.6.2까지
+
+## 도움을 준 사람
+
+이 문제를 발견해 준 [ooooooo_q](https://hackerone.com/ooooooo_q?type=user)에게 감사를 표합니다.
+
+## 수정 이력
+
+* 2024-03-21 04:00:00 (UTC) 최초 공개
