2021年存档

Ruby 3.0.3 已发布。

Ruby 2.7.5 已发布。

Ruby 2.6.9 已发布。

在 CGI::Cookie.parse 中发现了一个 cookie 前缀欺骗漏洞。该漏洞已分配 CVE 标识符 CVE-2021-41819。我们强烈建议升级 Ruby。

在 CGI.escape_html 中发现了一个缓冲区溢出漏洞。该漏洞已分配 CVE 标识符 CVE-2021-41816。我们强烈建议升级 Ruby。

我们已发布 date gem 版本 3.2.1、3.1.2、3.0.2 和 2.0.1，其中包括对日期解析方法中的正则表达式拒绝服务 (ReDoS) 漏洞的安全修复。攻击者可以利用此漏洞造成有效的拒绝服务攻击。该漏洞已分配 CVE 标识符 CVE-2021-41817。

尊敬的 Ruby 爱好者：

在 Net::FTP 中发现了一个信任 PASV 响应的漏洞。该漏洞已分配 CVE 标识符 CVE-2021-31810。我们强烈建议升级 Ruby。

在 Net::IMAP 中发现了一个 StartTLS 剥离漏洞。该漏洞已分配 CVE 标识符 CVE-2021-32066。我们强烈建议升级 Ruby。

Ruby 3.0.2 已发布。

Ruby 2.7.4 已发布。

Ruby 2.6.8 已发布。

Ruby 自带的 RDoc 中存在一个命令注入漏洞。建议所有 Ruby 用户将 RDoc 更新到修复此问题的最新版本。

Ruby 自带的 REXML gem 中存在一个 XML 往返漏洞。该漏洞已分配 CVE 标识符 CVE-2021-28965。我们强烈建议升级 REXML gem。

Ruby 在 Windows 上的 tmpdir 库中存在一个非预期的目录创建漏洞。由于其内部使用 tmpdir，Ruby 在 Windows 上的 tempfile 库也存在一个非预期的文件创建漏洞。该漏洞已分配 CVE 标识符 CVE-2021-28966。

Ruby 3.0.1 已发布。

Ruby 2.7.3 已发布。

Ruby 2.6.7 已发布。

Ruby 2.5.9 已发布。