在这里,您将找到有关 Ruby 安全问题的相关信息。
报告安全漏洞
Ruby 编程语言中的安全漏洞应通过我们的 HackerOne 上的漏洞赏金计划页面 报告。请确保在报告问题之前阅读我们计划范围内的具体细节。任何有效的报告问题将在修复后发布。
如果您发现影响我们网站之一的问题,请通过 GitHub 报告,或者您可以查看我们的 Google Groups 以获取安全公告。
如果您发现影响特定 Ruby 社区 gem 的问题,请遵循 RubyGems.org 上的说明。
要直接与 HackerOne 之外的安全团队联系,您可以发送电子邮件至 [email protected] (PGP 公钥),这是一个私人邮件列表。
邮件列表的成员是提供 Ruby 的人(Ruby 提交者和其他 Ruby 实现的作者、分发者、PaaS 平台提供者)。成员必须是个人,邮件列表不允许。
已知问题
以下是最近出现的问题
- CVE-2024-35176:REXML 中的 DoS
2024-05-16 - CVE-2024-27282:使用正则表达式搜索的任意内存地址读取漏洞
2024-04-23 - CVE-2024-27281:RDoc 中 .rdoc_options 的 RCE 漏洞
2024-03-21 - CVE-2024-27280:StringIO 中的缓冲区溢出漏洞
2024-03-21 - CVE-2023-36617:URI 中的 ReDoS 漏洞
2023-06-29 - CVE-2023-28756:Time 中的 ReDoS 漏洞
2023-03-30 - CVE-2023-28755:URI 中的 ReDoS 漏洞
2023-03-28 - CVE-2021-33621:CGI 中的 HTTP 响应拆分
2022-11-22 - CVE-2022-28738:Regexp 编译中的双重释放
2022-04-12 - CVE-2022-28739:字符串到浮点数转换中的缓冲区溢出
2022-04-12 - CVE-2021-41819:CGI::Cookie.parse 中的 Cookie 前缀欺骗
2021-11-24 - CVE-2021-41816:CGI.escape_html 中的缓冲区溢出
2021-11-24 - CVE-2021-41817:日期解析方法的正则表达式拒绝服务漏洞
2021-11-15 - CVE-2021-31810:Net::FTP 中信任 FTP PASV 响应的漏洞
2021-07-07 - CVE-2021-32066:Net::IMAP 中的 StartTLS 剥离漏洞
2021-07-07 - CVE-2021-31799:RDoc 中的命令注入漏洞
2021-05-02 - CVE-2021-28965:REXML 中的 XML 往返漏洞
2021-04-05 - CVE-2021-28966:Windows 上 Tempfile 中的路径遍历漏洞
2021-04-05 - CVE-2020-25613:WEBrick 中潜在的 HTTP 请求走私漏洞
2020-09-29 - CVE-2020-10933:套接字库中的堆泄漏漏洞
2020-03-31 - CVE-2020-10663:JSON 中的不安全对象创建漏洞(附加修复)
2020-03-19 - CVE-2019-16201:WEBrick 的摘要访问身份验证的正则表达式拒绝服务漏洞
2019-10-01 - CVE-2019-15845:File.fnmatch 和 File.fnmatch? 的 NUL 注入漏洞
2019-10-01 - CVE-2019-16254:WEBrick 中的 HTTP 响应拆分(附加修复)
2019-10-01 - CVE-2019-16255:Shell#[] 和 Shell#test 的代码注入漏洞
2019-10-01 - RDoc 中的多个 jQuery 漏洞
2019-08-28 - RubyGems 中的多个漏洞
2019-03-05 - CVE-2018-16395:OpenSSL::X509::Name 等效性检查无法正常工作
2018-10-17 - CVE-2018-16396:在 Array#pack 和 String#unpack 中使用某些指令时,污染标志不会传播
2018-10-17 - CVE-2018-6914:在 tempfile 和 tmpdir 中使用目录遍历进行意外的文件和目录创建
2018-03-28 - CVE-2018-8779:UNIXServer 和 UNIXSocket 中的 NUL 字节中毒导致意外的套接字创建
2018-03-28 - CVE-2018-8780:Dir 中的 NUL 字节中毒导致意外的目录遍历
2018-03-28 - CVE-2018-8777:WEBrick 中的大型请求导致拒绝服务
2018-03-28 - CVE-2017-17742:WEBrick 中的 HTTP 响应拆分
2018-03-28 - CVE-2018-8778:String#unpack 中的缓冲区下读
2018-03-28 - RubyGems 中的多个漏洞
2018-02-17 - CVE-2017-17405:Net::FTP 中的命令注入漏洞
2017-12-14 - CVE-2017-10784:WEBrick 的基本身份验证中的转义序列注入漏洞
2017-09-14 - CVE-2017-0898:Kernel.sprintf 中的缓冲区下溢漏洞
2017-09-14 - CVE-2017-14033:OpenSSL ASN1 解码中的缓冲区下溢漏洞
2017-09-14 - CVE-2017-14064:生成 JSON 时的堆泄漏漏洞
2017-09-14 - RubyGems 中的多个漏洞
2017-08-29 - CVE-2015-7551:Fiddle 和 DL 中不安全的污染字符串使用
2015-12-16 - CVE-2015-1855:Ruby OpenSSL 主机名验证
2015-04-13 - CVE-2014-8090:另一个拒绝服务 XML 扩展
2014-11-13 - CVE-2014-8080:拒绝服务 XML 扩展
2014-10-27 - 更改了 ext/openssl 的默认设置
2014-10-27 - 关于 CVE-2014-2734 漏洞的争议
2014-05-09 - OpenSSL TLS 心跳扩展中的严重漏洞(CVE-2014-0160)
2014-04-10 - YAML URI 转义解析中的堆溢出(CVE-2014-2525)
2014-03-29 - 浮点数解析中的堆溢出(CVE-2013-4164)
2013-11-22 - SSL 客户端中的主机名检查绕过漏洞(CVE-2013-4073)
2013-06-27 - Ruby 中 DL 和 Fiddle 的对象污染绕过(CVE-2013-2065)
2013-05-14
更多已知问题
- REXML 中的实体扩展拒绝服务漏洞(XML 炸弹,CVE-2013-1821) 于 2013 年 2 月 22 日发布。
- JSON 中的拒绝服务和不安全对象创建漏洞(CVE-2013-0269) 于 2013 年 2 月 22 日发布。
- RDoc 文档生成器 rdoc 的 XSS 漏洞 (CVE-2013-0256) 发布日期:2013 年 2 月 6 日。
- Ruby 1.9 的哈希洪水 DoS 漏洞 (CVE-2012-5371) 发布日期:2012 年 11 月 10 日。
- 插入非法 NUL 字符导致的意外文件创建 (CVE-2012-4522) 发布日期:2012 年 10 月 12 日。
- $SAFE 逃逸漏洞,涉及 Exception#to_s / NameError#to_s (CVE-2012-4464, CVE-2012-4466) 发布日期:2012 年 10 月 12 日。
- RubyGems 安全修复:远程仓库 SSL 服务器验证失败 发布日期:2012 年 4 月 20 日。
- Ruby OpenSSL 模块安全修复:允许 0/n 分割,以防止 TLS BEAST 攻击 发布日期:2012 年 2 月 16 日。
- Ruby 哈希算法的拒绝服务攻击 (CVE-2011-4815) 发布日期:2011 年 12 月 28 日。
- 异常方法可以绕过 $SAFE 发布日期:2011 年 2 月 18 日。
- FileUtils 容易受到符号链接竞态攻击 发布日期:2011 年 2 月 18 日。
- WEBrick 中的 XSS 漏洞 (CVE-2010-0541) 发布日期:2010 年 8 月 16 日。
- ARGF.inplace_mode= 中的缓冲区溢出 发布日期:2010 年 7 月 2 日。
- WEBrick 存在转义序列注入漏洞 发布日期:2010 年 1 月 10 日。
- String 中的堆溢出 (CVE-2009-4124) 发布日期:2009 年 12 月 7 日。
- BigDecimal 中的 DoS 漏洞 发布日期:2009 年 6 月 9 日。
- REXML 中的 DoS 漏洞 发布日期:2008 年 8 月 23 日。
- Ruby 中的多个漏洞 发布日期:2008 年 8 月 8 日。
- 任意代码执行漏洞 发布日期:2008 年 6 月 20 日。
- WEBrick 的文件访问漏洞 发布日期:2008 年 3 月 3 日。
- Net::HTTPS 漏洞 发布日期:2007 年 10 月 4 日。
- CGI 库中的另一个 DoS 漏洞 发布日期:2006 年 12 月 4 日。
- CGI 库中的 DoS 漏洞 (CVE-2006-5467) 发布日期:2006 年 11 月 3 日。
- Ruby 安全级别设置中的漏洞 发布于 2005 年 10 月 2 日。