Cette page recense les informations relatives à la sécurité et aux alertes de vulnérabilité.
Signaler une vulnérabilité
Les alertes de vulnérabilités et failles doivent être signalées à security@ruby-lang.org, qui est une liste de diffusion privée. Les problèmes qui y sont signalés ne sont rendus publics qu'après la création d'un patch résolvant la vulnérabilité.
Alertes passées
See the English page for a complete and up-to-date list of security vulnerabilities. The following list only includes the as yet translated security announcements, it might be incomplete or outdated.
- CVE-2021-41819: Usurpation de préfixes de cookie dans CGI::Cookie.parse
2021-11-24 - CVE-2021-41816: Dépassement de la mémoire tampon dans CGI.escape_html
2021-11-24 - CVE-2021-41817: Vulnérabilité de déni de service d'expression régulière (ReDoS) sur les méthodes d'analyse de date
2021-11-15 - CVE-2021-31810: Une vulnérabilité concernant la confiance des réponses FTP PASV dans Net::FTP
2021-07-07 - CVE-2021-32066: Une vulnérabilité StartTLS stripping dans Net::IMAP
2021-07-07 - CVE-2021-31799: Faille d'injection de commandes dans RDoc
2021-05-02 - CVE-2021-28965: Vulnérabilité XML round-trip dans REXML
2021-04-05 - CVE-2021-28966: Path traversal dans Tempfile sur Windows
2021-04-05 - Faille CVE-2015-7551 : vulnérabilité liée à une chaîne de caractère dans Fiddle et DL
2015-12-16 - CVE-2015-1855: Vérification des noms d'hôte par Ruby OpenSSL
2015-04-13 - CVE-2014-8090 : Un autre déni de service sur l'expansion XML
2014-11-13 - CVE-2014-8080 : Déni de service sur l'expansion XML
2014-10-27 - Changement des options par défaut de ext/openssl
2014-10-27 - Objections sur la vulnérabilité CVE-2014-2734
2014-05-09 - Faille OpenSSL critique dans l'extension TLS Heartbeat (CVE-2014-0160)
2014-04-10 - Dépassement du tas dans la lecture de nombres à virgule flottante (CVE-2013-4164)
2013-11-22 - Vulnérabilité dans le client SSL permettant de contourner la vérification du nom de domaine (CVE-2013-4073)
2013-06-27 - Vulnérabilité : Object taint bypassing in DL and Fiddle in Ruby (CVE-2013-2065)
2013-05-14
See the English page for prior security related posts.