任意代码执行漏洞
由 Shugo Maeda 于 2008 年 6 月 20 日发布
Ruby 中的多项漏洞可能导致拒绝服务 (DoS) 条件或允许执行任意代码。
影响
以下漏洞可能导致拒绝服务或允许攻击者执行任意代码。
受影响的版本
- 1.8 系列
-
- 1.8.4 及之前所有版本
- 1.8.5-p230 及之前所有版本
- 1.8.6-p229 及之前所有版本
- 1.8.7-p21 及之前所有版本
- 1.9 系列
-
- 1.9.0-1 及之前所有版本
解决方案
- 1.8 系列
- 请升级到 1.8.5-p231、1.8.6-p230 或 1.8.7-p22。
- <URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.5-p231.tar.gz> (md5sum: e900cf225d55414bffe878f00a85807c)
- <URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p230.tar.gz> (md5sum: 5e8247e39be2dc3c1a755579c340857f)
- <URL:https://cache.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p22.tar.gz> (md5sum: fc3ede83a98f48d8cb6de2145f680ef2)
- 1.9 系列
- 请升级到 1.9.0-2。
- <URL:https://cache.ruby-lang.org/pub/ruby/1.9/ruby-1.9.0-2.tar.gz> (md5sum: 2a848b81ed1d6393b88eec8aa6173b75)
这些版本也修复了 WEBrick 的漏洞(CVE-2008-1891)。
请注意,您的包管理软件可能已经提供了纠正此弱点的软件包。
致谢
感谢 Apple Product Security 的 Drew Yao 向 Ruby 安全团队披露了此问题。
变更
- 2008-06-21 00:29 +09:00 移除了错误的 CVE ID(CVE-2008-2727, CVE-2008-2728)。
近期新闻
Ruby 4.0.0 发布
我们很高兴地宣布 Ruby 4.0.0 的发布。Ruby 4.0 引入了“Ruby Box”和“ZJIT”,并增加了许多改进。
由 naruse 发布于 2025 年 12 月 25 日
Ruby 文档的全新外观
继 ruby-lang.org 重新设计之后,我们还有更多好消息来庆祝 Ruby 成立 30 周年:docs.ruby-lang.org 采用了 Aliki——RDoc 的新默认主题,焕然一新。
由 Stan Lo 发布于 2025 年 12 月 23 日
重新设计我们的网站标识
我们很高兴地宣布对我们的网站进行全面重新设计。此次更新的设计由 Akatsuka Taeko 创作。
由 Hiroshi SHIBATA 发布于 2025 年 12 月 22 日
Ruby 4.0.0 preview3 发布
我们很高兴地宣布 Ruby 4.0.0-preview3 的发布。Ruby 4.0 引入了 Ruby::Box 和“ZJIT”,并增加了许多改进。
由 naruse 发布于 2025 年 12 月 18 日