REXML Gem의 이번 DoS 취약점은 유효하지 않은 XML 문서 내에 다수의 XML 선언이 포함될 경우 발생합니다. 이러한 특수하게 조작된 XML 파일을 파싱할 때, REXML Gem은 비정상적으로 긴 처리 시간과 과도한 메모리 사용량을 유발하게 됩니다. 이는 결국 서비스 거부 상태로 이어져 애플리케이션의 정상적인 운영을 방해할 수 있습니다.### 취약점 상세 정보* 취약점 개요:* 유형: 서비스 거부(Denial of Service, DoS)* CVE 식별자: CVE-2025-58767* 원인: 다중 XML 선언을 포함하는 유효하지 않은 XML 파싱 시 과도한 자원 소모* 영향을 받는 버전:* REXML Gem 버전 3.3.3부터 3.4.1까지의 모든 버전이 이 취약점에 노출되어 있습니다.* 해당 버전의 REXML Gem을 사용하는 Ruby 애플리케이션은 잠재적인 DoS 공격에 취약합니다.* 해결책 및 권고:* 가장 강력한 권고는 REXML Gem을 즉시 최신 버전으로 업데이트하는 것입니다.* 취약점이 패치된 버전은 REXML Gem 3.4.2 이상입니다.* 사용 중인 REXML Gem 버전을 확인하고, 필요하다면 bundle update rexml 또는 gem update rexml 명령어를 통해 업데이트를 진행해야 합니다.이 취약점은 Sofi Aberegg에 의해 발견되었으며, Ruby 커뮤니티의 신속한 대응으로 패치 버전이 공개되었습니다.
REXML Gem 서비스 거부(DoS) 취약점 (CVE-2025-58767) 발견 및 업데이트 권고
CVE-2025-58767: DoS vulnerability in REXML
작성자
발행일
2025년 09월 18일
핵심 요약
- 1 REXML Gem에서 서비스 거부(DoS) 취약점(CVE-2025-58767)이 발견되어 즉각적인 업데이트가 권고됩니다.
- 2 이 취약점은 유효하지 않은 XML에 다중 XML 선언이 포함될 경우 실행 시간 및 메모리 사용량 증가를 유발합니다.
- 3 REXML Gem 버전 3.3.3부터 3.4.1까지 영향을 받으며, 3.4.2 이상 버전으로의 업데이트가 필요합니다.
도입
2025년 9월 18일, Ruby 언어의 XML 처리 라이브러리인 REXML Gem에서 서비스 거부(DoS) 취약점(CVE-2025-58767)이 발견되어 사용자들의 주의가 요구됩니다. 이 취약점은 특정 유형의 악성 XML 파일을 처리할 때 시스템 자원을 과도하게 소비하게 하여 서비스 가용성에 심각한 영향을 미칠 수 있습니다. Ruby 프로젝트에서 REXML Gem을 사용하는 모든 개발자 및 운영자에게는 신속한 대응이 강조되고 있습니다.
결론
이번 REXML Gem의 DoS 취약점은 XML 처리 기능을 활용하는 Ruby 기반 애플리케이션의 안정성과 보안에 직접적인 위협이 될 수 있음을 시사합니다. 특히, 외부로부터 XML 데이터를 수신하고 처리하는 시스템에서는 더욱 각별한 주의가 필요합니다. 개발자들은 권고된 바와 같이 REXML Gem을 3.4.2 이상 버전으로 즉시 업데이트하여 잠재적인 서비스 중단을 방지하고 사용자 데이터를 보호해야 할 것입니다. 보안 패치 적용은 애플리케이션의 지속적인 안정성을 유지하는 데 필수적인 조치입니다.