Ruby 3.1.0 发布
由 naruse 于 2021 年 12 月 25 日发布
在 CGI::Cookie.parse 中发现了一个 cookie 前缀欺骗漏洞。此漏洞已分配 CVE 标识符 CVE-2021-41819。我们强烈建议升级 Ruby。
由 mame 于 2021 年 11 月 24 日发布
在 CGI.escape_html 中发现了一个缓冲区溢出漏洞。此漏洞已分配 CVE 标识符 CVE-2021-41816。我们强烈建议升级 Ruby。
由 mame 于 2021 年 11 月 24 日发布
我们发布了 date gem 版本 3.2.1、3.1.2、3.0.2 和 2.0.1,其中包括针对日期解析方法上正则表达式拒绝服务漏洞(ReDoS)的安全修复。攻击者可以利用此漏洞导致有效的 DoS 攻击。此漏洞已分配 CVE 标识符 CVE-2021-41817。
由 mame 于 2021 年 11 月 15 日发布
在 Net::FTP 中发现了一个信任 FTP PASV 响应的漏洞。此漏洞已分配 CVE 标识符 CVE-2021-31810。我们强烈建议升级 Ruby。
由 shugo 于 2021 年 7 月 7 日发布
在 Net::IMAP 中发现了一个 StartTLS 剥离漏洞。此漏洞已分配 CVE 标识符 CVE-2021-32066。我们强烈建议升级 Ruby。
由 shugo 于 2021 年 7 月 7 日发布
Ruby 中捆绑的 RDoc 中存在一个关于命令注入的漏洞。建议所有 Ruby 用户将 RDoc 更新到修复此问题的最新版本。
由 aycabta 于 2021 年 5 月 2 日发布
Ruby 捆绑的 REXML gem 中存在一个 XML 往返漏洞。此漏洞已分配 CVE 标识符 CVE-2021-28965。我们强烈建议升级 REXML gem。
由 mame 于 2021 年 4 月 5 日发布
在 Windows 上 Ruby 捆绑的 tmpdir 库中存在一个意外的目录创建漏洞。并且,在 Windows 上 Ruby 捆绑的 tempfile 库中也存在一个意外的文件创建漏洞,因为它在内部使用 tmpdir。此漏洞已分配 CVE 标识符 CVE-2021-28966。
由 mame 于 2021 年 4 月 5 日发布