Hier finden Sie Informationen zu Sicherheitsproblemen in Ruby.
Sicherheitslücken melden
Sicherheitslücken sollten per E-Mail an security@ruby-lang.org (öffentlicher PGP-Schlüssel) gemeldet werden, einer nicht öffentlichen Mailingliste. Gemeldete Probleme werden veröffentlicht, nachdem sie behoben wurden.
Mitglieder der Mailingliste sind Personen, die Ruby zur Verfügung stellen (Ruby-Committer und Entwickler anderer Ruby-Implementierungen, Distributoren, PaaS-Plattformen).
Bekannte Schwachstellen
See the English page for a complete and up-to-date list of security vulnerabilities. The following list only includes the as yet translated security announcements, it might be incomplete or outdated.
Hier eine Liste kürzlich bekannt gewordener Probleme:
- CVE-2020-25613: Sicherheitslücke: Schmuggeln von Requests in WEBrick möglich
2020-09-29 - CVE-2020-10933: Heap kann durch Sicherheitslücke in Socket-Bibliothek ausgelesen werden
2020-03-31 - CVE-2020-10663: Sicherheitslücke bei der Objekterstellung in JSON (weiterer Fehler behoben)
2020-03-19 - CVE-2019-16201: Denial-of-Service-Schwachstelle in WEBricks Digest-Authentisierung
2019-10-01 - CVE-2019-15845: Einfügung von NUL-Zeichen möglich in File.fnmatch und File.fnmatch?
2019-10-01 - CVE-2019-16254: HTTP-Antwortveränderung in WEBrick (zusätzliche Fehlerkorrektur)
2019-10-01 - CVE-2019-16255: Einschleusung von Code in Shell#[] und Shell#test möglich
2019-10-01 - Mehere jQuery-Schwachstellen in RDoc
2019-08-28 - Mehrere Sicherheitslücken in RubyGems
2019-03-05 - CVE-2018-16395: Gleichheitsprüfung mit OpenSSL::X509::Name funktioniert nicht richtig
2018-10-17 - CVE-2018-16396: „taint“-Markierungen werden von Array#pack und String#unpack nicht mit allen Direktiven richtig verarbeitet
2018-10-17 - CVE-2018-6914: Unbeabsichtigte Datei- und Verzeichniserstellung sowie Directory Traversal in Tempfile und Tmpdir
2018-03-28 - CVE-2018-8779: Fehlerhafte Socket-Erstellung durch NUL-Byte in UNIXServer und UNIXSocket
2018-03-28 - CVE-2018-8780: Unbeabsichtigte Dir Traversal durch NUL-Byte in Dir
2018-03-28 - CVE-2018-8777: DoS-Angriff durch große Anfrage an WEBrick
2018-03-28 - CVE-2017-17742: HTTP-Antwortveränderung in WEBrick
2018-03-28 - CVE-2018-8778: Pufferunterlauf in String#unpack
2018-03-28 - Zahlreiche Schwachstellen in RubyGems
2018-02-17 - CVE-2017-17405: Schwachstelle in Net::FTP erlaubt Ausführung von beliebigen Shell-Befehlen
2017-12-14 - CVE-2017-10784: Sicherheitsproblem durch Einschleusung von Escape-Sequenzen in der Basic-Authentisierung von WEBrick
2017-09-14 - CVE-2017-0898: Pufferunterlauf in Kernel.sprintf
2017-09-14 - CVE-2017-14033: Pufferunterlauf-Problem bei Dekodierung von OpenSSL-ASN1
2017-09-14 - CVE-2017-14064: Sicherheitsproblem mit dem Heap beim Erzeugen von JSON
2017-09-14 - Mehrere Sicherheitslücken in RubyGems
2017-08-29 - CVE-2015-7551: Unsichere Behandlung von tainted Strings in Fiddle und DL
2015-12-16 - CVE-2015-1855: Hostname-Überprüfung in Ruby-OpenSSL
2015-04-13 - CVE-2014-8090: Weitere Denial-of-Service XML-Expansion
2014-11-13 - CVE-2014-8080: Denial-of-Service XML-Expansion
2014-10-27 - Standardeinstellungen von ext/openssl verändert
2014-10-27 - Anfechtung der Sicherheitslücke CVE-2014-2734
2014-05-09 - Schwere Sicherheitslücke in TLS-Heartbeat-Erweiterung von OpenSSL (CVE-2014-0160)
2014-04-10 - Heap-Überlauf beim Parsen von URI-Escape-Sequenzen in YAML (CVE-2014-2525)
2014-03-29 - Heap-Überlauf beim Parsen von Floating-Point (CVE-2013-4164)
2013-11-22 - Umgehung von Hostname-Check im SSL-Client (CVE-2013-4073)
2013-06-27 - Umgehung von Object#taint in DL und Fiddle in Ruby (CVE-2013-2065)
2013-05-14
Weitere bekannte Probleme:
- Entitätsexpansion-DoS-Schwachstelle in REXML (XML-Bombe, CVE-2013-1821) veröffentlicht am 22. Feb. 2013.
- Denial-of-Service- und Objekterstellungs-Sicherheitslücken in JSON (CVE-2013-0269) veröffentlicht am 22. Feb. 2013.
- XSS-Exploit für RDoc-Dokumentation (CVE-2013-0256) veröffentlicht am 6. Feb. 2013.
- Hash-Flooding-DoS-Sicherheitsleck in Ruby 1.9 (CVE-2012-5371) veröffentlicht am 10. Nov. 2012.
- Durch ungültiges NUL-Zeichen werden unabsichtlich Dateien erzeugt (CVE-2012-4522) veröffentlicht am 12. Okt. 2012.
- Sicherheitslücke in Exception#to_s / NameError#to_s (CVE-2012-4464, CVE-2012-4466) ermöglicht Umgehung von $SAFE veröffentlicht am 12. Okt. 2012.
- Sicherheitsfix für RubyGems: SSL-Server-Verifikation für entfernte Repositories veröffentlicht am 20. Apr. 2012.
- Sicherheitsfix für Rubys OpenSSL-Modul: Erlaube “0/n splitting” als Gegenmaßnahme für den TLS-BEAST-Angriff veröffentlicht am 16. Feb. 2012.
- Denial-of-Service-Attacke für Rubys Hash-Algorithmus gefunden (CVE-2011-4815) veröffentlicht am 28. Dez. 2011.
- Exception-Methoden können $SAFE umgehen veröffentlicht am 18. Feb. 2011.
- Sicherheitslücke in FileUtils durch Race-Conditions in Symlinks veröffentlicht am 18. Feb. 2011.
- XSS in WEBrick (CVE-2010-0541) veröffentlicht am 16. Aug. 2010.
- Buffer-Overflow in ARGF.inplace_mode= veröffentlicht am 2. Juli 2010.
- WEBrick “Escapesequence Injection” Schwachstelle veröffentlicht am 10. Jan. 2010.
- Heap overflow in String (CVE-2009-4124) veröffentlicht am 7. Dez. 2009.
- DoS Schwachstelle in BigDecimal veröffentlicht am 9. Juni 2009.
- DoS vulnerability in REXML veröffentlicht am 23. Aug. 2008.
- Multiple vulnerabilities in Ruby veröffentlicht am 8. Aug. 2008.
- Arbitrary code execution vulnerabilities veröffentlicht am 20. Juni 2008.
- File access vulnerability of WEBrick veröffentlicht am 3. März 2008.
- Net::HTTPS Sicherheitslücke veröffentlicht am 4. Okt. 2007.
- Eine weitere DoS Sicherheitslücke in der CGI Bibliothek veröffentlicht am 4. Dez. 2006.
- DoS Sicherheitslücke in CGI Bibliothek (CVE-2006-5467) veröffentlicht am 3. Nov. 2006.
- Ruby vulnerability in the safe level settings veröffentlicht am 2. Okt. 2005.