安全

您可以在这里找到关于 Ruby 安全问题的相关信息。

报告安全漏洞

Ruby 编程语言中的安全漏洞应通过我们的 HackerOne 上的赏金计划页面进行报告。请确保在报告问题前仔细阅读我们计划的具体范围。任何有效报告的问题将在修复后发布。

如果您发现影响我们网站之一的问题，请 通过 GitHub 报告，您也可以查看我们的 Google Groups 获取安全公告。

如果您发现影响特定 Ruby 社区 gem 的问题，请遵循 RubyGems.org 上的说明。

要直接联系安全团队（HackerOne 之外），您可以发送电子邮件至 security@ruby-lang.org（PGP 公钥），这是一个私密邮件列表。

邮件列表的成员是提供 Ruby 的人员（Ruby 提交者和其他 Ruby 实现的作者、分发者、PaaS 平台开发者）。成员必须是个人，不允许使用邮件列表。

已知问题

以下是最近的问题

• CVE-2025-61594：URI 凭证泄露绕过了先前的修复
  2025-10-07
• CVE-2025-58767：REXML 中的拒绝服务漏洞
  2025-09-18
• CVE-2025-24294：resolv gem 中可能的拒绝服务
  2025-07-08
• CVE-2025-43857：net-imap 中的拒绝服务漏洞
  2025-04-28
• 安全公告：CVE-2025-27219、CVE-2025-27220 和 CVE-2025-27221
  2025-02-26
• CVE-2025-25186：net-imap 中的拒绝服务漏洞
  2025-02-10
• CVE-2024-49761: REXML 中的 ReDoS 漏洞
  2024-10-28
• CVE-2024-43398: REXML 中的 DoS 漏洞
  2024-08-22
• CVE-2024-41946: REXML 中的 DoS 漏洞
  2024-08-01
• CVE-2024-41123: REXML 中的 DoS 漏洞
  2024-08-01
• CVE-2024-39908: REXML 中的 DoS 漏洞
  2024-07-16
• CVE-2024-35176: REXML 中的 DoS 漏洞
  2024-05-16
• CVE-2024-27282: 使用 Regex 搜索时任意内存地址读取漏洞
  2024-04-23
• CVE-2024-27281: RDoc 中 .rdoc_options 的 RCE 漏洞
  2024-03-21
• CVE-2024-27280: StringIO 中的缓冲区溢出读取漏洞
  2024-03-21
• CVE-2023-36617: URI 中的 ReDoS 漏洞
  2023-06-29
• CVE-2023-28756: Time 中的 ReDoS 漏洞
  2023-03-30
• CVE-2023-28755: URI 中的 ReDoS 漏洞
  2023-03-28
• CVE-2021-33621: CGI 中的 HTTP 响应拆分漏洞
  2022-11-22
• CVE-2022-28738: Regexp 编译中的双重释放漏洞
  2022-04-12
• CVE-2022-28739: String-to-Float 转换中的缓冲区溢出漏洞
  2022-04-12
• CVE-2021-41819: CGI::Cookie.parse 中的 Cookie Prefix 欺骗漏洞
  2021-11-24
• CVE-2021-41816: CGI.escape_html 中的缓冲区溢出漏洞
  2021-11-24
• CVE-2021-41817: 日期解析方法的正则表达式拒绝服务漏洞
  2021-11-15
• CVE-2021-31810: Net::FTP 中信任 FTP PASV 响应的漏洞
  2021-07-07
• CVE-2021-32066: Net::IMAP 中存在 StartTLS 剥离漏洞
  2021-07-07
• CVE-2021-31799: RDoc 中存在命令注入漏洞
  2021-05-02
• CVE-2021-28965: REXML 中的 XML 往返漏洞
  2021-04-05
• CVE-2021-28966: Windows 上 Tempfile 中的路径遍历漏洞
  2021-04-05
• CVE-2020-25613: WEBrick 中潜在的 HTTP 请求走私漏洞
  2020-09-29
• CVE-2020-10933: socket 库中的堆暴露漏洞
  2020-03-31
• CVE-2020-10663: JSON 中不安全的对象创建漏洞（额外修复）
  2020-03-19
• CVE-2019-16201: WEBrick 的 Digest 访问认证中的正则表达式拒绝服务漏洞
  2019-10-01
• CVE-2019-15845: File.fnmatch 和 File.fnmatch? 中的 NUL 注入漏洞
  2019-10-01
• CVE-2019-16254: WEBrick 中的 HTTP 响应拆分漏洞（额外修复）
  2019-10-01
• CVE-2019-16255: Shell#[] 和 Shell#test 中的代码注入漏洞
  2019-10-01
• RDoc 中的多个 jQuery 漏洞
  2019-08-28
• RubyGems 中的多个漏洞
  2019-03-05
• CVE-2018-16395: OpenSSL::X509::Name 相等性检查不正确
  2018-10-17
• CVE-2018-16396: Tainted 标志在 Array#pack 和 String#unpack 中的某些指令下未传播
  2018-10-17
• CVE-2018-6914: tempfile 和 tmpdir 中目录遍历导致意外创建文件和目录
  2018-03-28
• CVE-2018-8779: UNIXServer 和 UNIXSocket 中被污染的 NUL 字节导致意外创建套接字
  2018-03-28
• CVE-2018-8780: Dir 中被污染的 NUL 字节导致意外目录遍历
  2018-03-28
• CVE-2018-8777: WEBrick 中由于大请求导致的 DoS
  2018-03-28
• CVE-2017-17742: WEBrick 中的 HTTP 响应拆分漏洞
  2018-03-28
• CVE-2018-8778: String#unpack 中的缓冲区溢出读取漏洞
  2018-03-28
• RubyGems 中的多个漏洞
  2018-02-17
• CVE-2017-17405: Net::FTP 中的命令注入漏洞
  2017-12-14
• CVE-2017-10784: WEBrick 的 Basic 认证中存在转义序列注入漏洞
  2017-09-14
• CVE-2017-0898: Kernel.sprintf 中的缓冲区溢出漏洞
  2017-09-14
• CVE-2017-14033: OpenSSL ASN1 解码中的缓冲区溢出漏洞
  2017-09-14
• CVE-2017-14064: 生成 JSON 时存在堆暴露漏洞
  2017-09-14
• RubyGems 中的多个漏洞
  2017-08-29
• CVE-2015-7551: Fiddle 和 DL 中存在不安全 Tainted 字符串使用漏洞
  2015-12-16
• CVE-2015-1855: Ruby OpenSSL 主机名验证
  2015-04-13
• CVE-2014-8090: 另一个 XML 扩展拒绝服务漏洞
  2014-11-13
• CVE-2014-8080: XML 扩展拒绝服务漏洞
  2014-10-27
• ext/openssl 的默认设置已更改
  2014-10-27
• 对 CVE-2014-2734 漏洞的争议
  2014-05-09
• TLS 心跳扩展中的 OpenSSL 严重漏洞 (CVE-2014-0160)
  2014-04-10
• YAML URI 转义解析中的堆溢出 (CVE-2014-2525)
  2014-03-29
• 浮点数解析中的堆溢出 (CVE-2013-4164)
  2013-11-22
• SSL 客户端主机名检查绕过漏洞 (CVE-2013-4073)
  2013-06-27
• Ruby 中的 DL 和 Fiddle 对象污点绕过 (CVE-2013-2065)
  2013-05-14

更多已知问题

• REXML 中的实体扩展 DoS 漏洞（XML 炸弹，CVE-2013-1821）发布于 2013 年 2 月 22 日。
• JSON 中的拒绝服务和不安全对象创建漏洞（CVE-2013-0269）发布于 2013 年 2 月 22 日。
• 由 rdoc 生成的 RDoc 文档中的 XSS 漏洞（CVE-2013-0256）发布于 2013 年 2 月 6 日。
• Ruby 1.9 的 Hash-flooding DoS 漏洞（CVE-2012-5371）发布于 2012 年 11 月 10 日。
• 插入非法 NUL 字符导致意外文件创建（CVE-2012-4522）发布于 2012 年 10 月 12 日。
• 关于 Exception#to_s / NameError#to_s 的 $SAFE 逃逸漏洞（CVE-2012-4464, CVE-2012-4466）发布于 2012 年 10 月 12 日。
• RubyGems 安全修复：远程存储库的 SSL 服务器验证失败发布于 2012 年 4 月 20 日。
• Ruby OpenSSL 模块安全修复：允许 0/n 分割以防止 TLS BEAST 攻击发布于 2012 年 2 月 16 日。
• Ruby 哈希算法的拒绝服务攻击（CVE-2011-4815）发布于 2011 年 12 月 28 日。
• 异常方法可以绕过 $SAFE发布于 2011 年 2 月 18 日。
• FileUtils 易受符号链接竞争攻击影响发布于 2011 年 2 月 18 日。
• WEBrick 中的 XSS 漏洞（CVE-2010-0541）发布于 2010 年 8 月 16 日。
• ARGF.inplace_mode= 中的缓冲区溢出发布于 2010 年 7 月 2 日。
• WEBrick 存在转义序列注入漏洞发布于 2010 年 1 月 10 日。
• String 中的堆溢出漏洞（CVE-2009-4124）发布于 2009 年 12 月 7 日。
• BigDecimal 中的 DoS 漏洞发布于 2009 年 6 月 9 日。
• REXML 中的 DoS 漏洞发布于 2008 年 8 月 23 日。
• Ruby 中的多个漏洞发布于 2008 年 8 月 8 日。
• 任意代码执行漏洞发布于 2008 年 6 月 20 日。
• WEBrick 的文件访问漏洞发布于 2008 年 3 月 3 日。
• Net::HTTPS 漏洞发布于 2007 年 10 月 4 日。
• CGI 库中的另一个 DoS 漏洞发布于 2006 年 12 月 4 日。
• CGI 库中的 DoS 漏洞（CVE-2006-5467）发布于 2006 年 11 月 3 日。
• Ruby 安全级别设置中的漏洞发布于 2005 年 10 月 2 日。