Aquí encontrarás información sobre problemas de seguridad en Ruby.
Reportar vulnerabilidades de seguridad
Las vulnerabilidades de seguridad en el lenguaje de programación Ruby deben informarse a través de nuestra página del programa de recompensas en HackerOne.
Asegúrese de leer los detalles específicos sobre el alcance de nuestro programa antes de informar un problema.
Cualquier problema de seguridad se anunciará después de corregido.
Si ha encontrado un problema que afecta a uno de nuestros sitios web, por favor informarlo a través de GitHub o puedes revisar nuestro Google Groups por anuncios de seguridad.
Si ha encontrado un problema que afecta a una gema de la comunidad de Ruby específica, siga las instrucciones en RubyGems.org.
Si necesita ponerse en contacto con el equipo de seguridad directamente por fuera de HackerOne, puede enviar un correo electrónico (en inglés) a security@ruby-lang.org (la clave pública PGP), que es una lista de correo privada.
Los miembros de la lista de correo son personas que proporcionan Ruby (contribuyentes y autores de otras implementaciones de Ruby, distribuidores, plataformas PaaS).
Los miembros deben ser personas individuales, no se permiten listas de correo.
Problemas conocidos
Vea la página en inglés para obtener una lista completa y actualizada de vulnerabilidades de seguridad. La siguiente lista solo incluye los anuncios de seguridad traducidos hasta el momento; es posible que esté incompleta o desactualizada.
Estos son los problemas conocidos recientes:
- CVE-2024-49761: Vulnerabilidad ReDoS en REXML
2024-10-28 - CVE-2024-43398: Vulnerabilidad de denegación de servicio (DoS) en REXML
2024-08-22 - CVE-2024-41946: Vulnerabilidad de denegación de servicio en REXML
2024-08-01 - CVE-2024-41123: vulnerabilidad de denegación de servicio (DoS) en REXML
2024-08-01 - CVE-2024-39908: Vulnerabilidad de Denegación de Servicio (DoS) en REXML
2024-07-16 - CVE-2024-35176: Denegación de servicio en REXML
2024-05-16 - CVE-2024-27282: Lectura de direcciones de memoria arbitrarias al buscar Regex
2024-04-23 - CVE-2024-27281: Vulnerabilidad RCE con .rdoc_options en RDoc
2024-03-21 - CVE-2024-27280: Vulnerabilidad de sobre-lectura de buffer en StringIO
2024-03-21 - CVE-2023-36617: vulnerabilidad de ReDoS en URI
2023-06-29 - CVE-2023-28756: Vulnerabilidad ReDoS en Time
2023-03-30 - CVE-2023-28755: Vulnerabilidad ReDoS en URI
2023-03-28 - CVE-2021-33621: División de respuesta HTTP en CGI
2022-11-22 - CVE-2022-28738: Doble free en compilación de expresiones regulares
2022-04-12 - CVE-2022-28739: Desbordamiento de Buffer en conversión de String a Float
2022-04-12 - CVE-2021-41819: Suplantación de identidad del prefijo de galletas en CGI::Cookie.parse
2021-11-24 - CVE-2021-41816: Desbordamiento de búfer en CGI.escape_html
2021-11-24 - CVE-2021-41817: Vulnerabilidad de denegación de servicio por Expresiones Reguales en los métodos para reconocer fechas
2021-11-15 - CVE-2021-31810: Vulnerabilidad por confiar en respuestas FTP PASV en Net::FTP
2021-07-07 - CVE-2021-32066: Vulnerabilidad de recortado de StartTLS en Net::IMAP
2021-07-07 - CVE-2021-31799: Vulnerabilidad de inyección de ordenes en RDoc
2021-05-02 - CVE-2021-28965: Vulnerabilidad de XML de ida y vuelta en REXML
2021-04-05 - CVE-2021-28966: Salto de directorio en Tempfile en Windows
2021-04-05 - CVE-2020-25613: WEBrick potencialmente vulnerable a contrabando de solicitudes HTTP
2020-09-29 - CVE-2020-10933: Vulnerabilidad de exposición del montón (heap) en la librería de zócalos (sockets)
2020-03-31 - CVE-2020-10663: Vulnerabilidad de Creación Insegura de Objetos en JSON (Corrección adicional)
2020-03-19 - CVE-2019-16201: Vulnerabilidad de Denegación de Servicio en expresiones regulares de la 'autenticación de acceso con resumen' de WEBrick
2019-10-01 - CVE-2019-15845: Una vulnerabilidad de inyección de NUL en File.fnmatch y File.fnmatch?
2019-10-01 - CVE-2019-16254: Separación de respuesta HTTP en WEBrick (Corrección adicional)
2019-10-01 - CVE-2019-16255: Una vulnerabilidad de inyeccion de código en Shell#[] y Shell#test
2019-10-01 - Multiples vulnerabilidades de jQuery en RDoc
2019-08-28 - Múltiples vulnerabilidades en RubyGems
2019-03-05 - CVE-2018-16395: Comparación de igualdad de OpenSSL::X509::Name no opera correactamente
2018-10-17 - CVE-2018-16396: Banderas de contaminación no propagadas en Array#pack y String#unpack con algunas directivas
2018-10-17 - CVE-2017-17405: Vulnerabilidad de inyección de ordenes en Net::FTP
2017-12-14 - Multiples vulnerabilidades en RubyGems
2017-08-29 - CVE-2015-7551: Unsafe tainted string usage in Fiddle and DL
2015-12-16 - CVE-2015-1855: Verificación de nombre de host en OpenSSL de Ruby
2015-04-13 - CVE-2014-8090: Otro ataque por negación de servicio en la expansión de XML
2014-11-13 - CVE-2014-8080: Negación de Servicio (DoS) por Expansión de XML
2014-10-27 - Cambio en las configuraciones por defecto de ext/openssl
2014-10-27 - Disputa por vulnerabilidad CVE-2014-2734
2014-05-09 - Vulnerabilidad Severa de OpenSSL en la extensión TLS Heartbeat (CVE-2014-0160)
2014-04-10 - Desbordamiento de Pila en la interpretacion de URIs en YAML (CVE-2014-2525)
2014-03-29 - Desbordamiento de Pila en el intérprete de flotantes (CVE-2013-4164)
2013-11-22 - Vulnerabilidad por evasión de validación del nombre de cliente de SSL (CVE-2013-4073)
2013-06-27 - Inyección de objetos corruptos con DL y Fiddle en Ruby
2013-05-14 - Vulnerabilidad DoS por expansión de entidades en REXML
2013-02-22