在这里,你将找到有关 Ruby 安全问题的信息。
报告安全漏洞
Ruby 编程语言中的安全漏洞应通过我们在 HackerOne 上的漏洞赏金计划页面 报告。请确保在报告问题之前阅读有关我们计划范围的具体细节。任何有效的已报告问题将在修复后发布。
如果您发现影响我们网站的问题,请通过 GitHub 报告,或者您可以查看我们的 Google Groups 获取安全公告。
如果您发现影响特定 Ruby 社区 gem 的问题,请遵循 RubyGems.org 上的说明。
要在 HackerOne 之外直接与安全团队联系,您可以发送电子邮件至 [email protected](PGP 公钥),这是一个私人邮件列表。
邮件列表的成员是提供 Ruby 的人员(Ruby 提交者和其他 Ruby 实现的作者、分发者、PaaS 平台提供商)。成员必须是个人,不允许使用邮件列表。
已知问题
以下是最近的问题
- CVE-2024-49761:REXML 中的 ReDoS 漏洞
2024-10-28 - CVE-2024-43398:REXML 中的 DoS 漏洞
2024-08-22 - CVE-2024-41946:REXML 中的 DoS 漏洞
2024-08-01 - CVE-2024-41123:REXML 中的 DoS 漏洞
2024-08-01 - CVE-2024-39908:REXML 中的 DoS 漏洞
2024-07-16 - CVE-2024-35176:REXML 中的 DoS 漏洞
2024-05-16 - CVE-2024-27282:使用正则表达式搜索的任意内存地址读取漏洞
2024-04-23 - CVE-2024-27281:RDoc 中使用 .rdoc_options 的 RCE 漏洞
2024-03-21 - CVE-2024-27280:StringIO 中的缓冲区溢出读取漏洞
2024-03-21 - CVE-2023-36617:URI 中的 ReDoS 漏洞
2023-06-29 - CVE-2023-28756:Time 中的 ReDoS 漏洞
2023-03-30 - CVE-2023-28755:URI 中的 ReDoS 漏洞
2023-03-28 - CVE-2021-33621:CGI 中的 HTTP 响应拆分
2022-11-22 - CVE-2022-28738:Regexp 编译中的双重释放
2022-04-12 - CVE-2022-28739:字符串到浮点数转换中的缓冲区溢出
2022-04-12 - CVE-2021-41819:CGI::Cookie.parse 中的 Cookie 前缀欺骗
2021-11-24 - CVE-2021-41816:CGI.escape_html 中的缓冲区溢出
2021-11-24 - CVE-2021-41817:日期解析方法的正则表达式拒绝服务漏洞
2021-11-15 - CVE-2021-31810:Net::FTP 中信任 FTP PASV 响应的漏洞
2021-07-07 - CVE-2021-32066:Net::IMAP 中的 StartTLS 剥离漏洞
2021-07-07 - CVE-2021-31799:RDoc 中的命令注入漏洞
2021-05-02 - CVE-2021-28965:REXML 中的 XML 往返漏洞
2021-04-05 - CVE-2021-28966:Windows 上 Tempfile 中的路径遍历
2021-04-05 - CVE-2020-25613:WEBrick 中潜在的 HTTP 请求走私漏洞
2020-09-29 - CVE-2020-10933:套接字库中的堆暴露漏洞
2020-03-31 - CVE-2020-10663:JSON 中不安全的对象创建漏洞(附加修复)
2020-03-19 - CVE-2019-16201:WEBrick 的摘要访问身份验证的正则表达式拒绝服务漏洞
2019-10-01 - CVE-2019-15845:File.fnmatch 和 File.fnmatch? 的 NUL 注入漏洞
2019-10-01 - CVE-2019-16254:WEBrick 中的 HTTP 响应拆分(附加修复)
2019-10-01 - CVE-2019-16255:Shell#[] 和 Shell#test 的代码注入漏洞
2019-10-01 - RDoc 中的多个 jQuery 漏洞
2019-08-28 - RubyGems 中的多个漏洞
2019-03-05 - CVE-2018-16395:OpenSSL::X509::Name 相等性检查无法正常工作
2018-10-17 - CVE-2018-16396:在某些指令中,受污染的标志不会在 Array#pack 和 String#unpack 中传播
2018-10-17 - CVE-2018-6914:在 tempfile 和 tmpdir 中,由于目录遍历导致的意外文件和目录创建
2018-03-28 - CVE-2018-8779:在 UNIXServer 和 UNIXSocket 中,由于 NUL 字节中毒导致的意外套接字创建
2018-03-28 - CVE-2018-8780:在 Dir 中,由于 NUL 字节中毒导致的意外目录遍历
2018-03-28 - CVE-2018-8777:WEBrick 中由于大型请求导致的 DoS
2018-03-28 - CVE-2017-17742:WEBrick 中的 HTTP 响应拆分
2018-03-28 - CVE-2018-8778:String#unpack 中的缓冲区下读
2018-03-28 - RubyGems 中的多个漏洞
2018-02-17 - CVE-2017-17405:Net::FTP 中的命令注入漏洞
2017-12-14 - CVE-2017-10784:WEBrick 的基本身份验证中的转义序列注入漏洞
2017-09-14 - CVE-2017-0898:Kernel.sprintf 中的缓冲区欠读漏洞
2017-09-14 - CVE-2017-14033:OpenSSL ASN1 解码中的缓冲区欠读漏洞
2017-09-14 - CVE-2017-14064:生成 JSON 中的堆暴露漏洞
2017-09-14 - RubyGems 中的多个漏洞
2017-08-29 - CVE-2015-7551:Fiddle 和 DL 中不安全的使用受污染的字符串
2015-12-16 - CVE-2015-1855:Ruby OpenSSL 主机名验证
2015-04-13 - CVE-2014-8090:另一个拒绝服务 XML 扩展
2014-11-13 - CVE-2014-8080:拒绝服务 XML 扩展
2014-10-27 - 更改了 ext/openssl 的默认设置
2014-10-27 - CVE-2014-2734 漏洞争议
2014-05-09 - TLS 心跳扩展中的 OpenSSL 严重漏洞 (CVE-2014-0160)
2014-04-10 - YAML URI 转义解析中的堆溢出 (CVE-2014-2525)
2014-03-29 - 浮点数解析中的堆溢出 (CVE-2013-4164)
2013-11-22 - SSL 客户端中绕过主机名检查的漏洞 (CVE-2013-4073)
2013-06-27 - Ruby 中 DL 和 Fiddle 中的对象污染绕过 (CVE-2013-2065)
2013-05-14
更多已知问题
- REXML 中的实体扩展 DoS 漏洞(XML 炸弹,CVE-2013-1821),发布于 2013 年 2 月 22 日。
- JSON 中的拒绝服务和不安全的对象创建漏洞 (CVE-2013-0269),发布于 2013 年 2 月 22 日。
- 由 rdoc 生成的 RDoc 文档的 XSS 漏洞 (CVE-2013-0256),发布于 2013 年 2 月 6 日。
- ruby 1.9 的哈希洪水 DoS 漏洞 (CVE-2012-5371),发布于 2012 年 11 月 10 日。
- 由于插入非法 NUL 字符导致的意外文件创建 (CVE-2012-4522),发布于 2012 年 10 月 12 日。
- 关于 Exception#to_s / NameError#to_s 的 $SAFE 转义漏洞 (CVE-2012-4464, CVE-2012-4466),发布于 2012 年 10 月 12 日。
- RubyGems 的安全修复:远程存储库的 SSL 服务器验证失败,发布于 2012 年 4 月 20 日。
- Ruby OpenSSL 模块的安全修复:允许 0/n 拆分作为 TLS BEAST 攻击的预防,发布于 2012 年 2 月 16 日。
- Ruby 的哈希算法发现拒绝服务攻击 (CVE-2011-4815),发布于 2011 年 12 月 28 日。
- 异常方法可以绕过 $SAFE,发布于 2011 年 2 月 18 日。
- FileUtils 容易受到符号链接竞争攻击,发布于 2011 年 2 月 18 日。
- WEBrick 中的 XSS (CVE-2010-0541),发布于 2010 年 8 月 16 日。
- ARGF.inplace_mode= 中的缓冲区溢出,发布于 2010 年 7 月 2 日。
- WEBrick 具有转义序列注入漏洞,发布于 2010 年 1 月 10 日。
- String 中的堆溢出 (CVE-2009-4124),发布于 2009 年 12 月 7 日。
- BigDecimal 中的 DoS 漏洞,发布于 2009 年 6 月 9 日。
- REXML 中的 DoS 漏洞,发布于 2008 年 8 月 23 日。
- Ruby 中的多个漏洞,发布于 2008 年 8 月 8 日。
- 任意代码执行漏洞,发布于 2008 年 6 月 20 日。
- WEBrick 的文件访问漏洞,发布于 2008 年 3 月 3 日。
- Net::HTTPS 漏洞,发布于 2007 年 10 月 4 日。
- CGI 库中的另一个 DoS 漏洞,发布于 2006 年 12 月 4 日。
- CGI 库中的 DoS 漏洞 (CVE-2006-5467),发布于 2006 年 11 月 3 日。
- 安全级别设置中的 Ruby 漏洞,发布于 2005 年 10 月 2 日。