Ruby와 관련한 보안 이슈에 대해 정보를 공유하는 곳입니다.
보안 취약점 알리기
Ruby 프로그래밍 언어의 보안 취약점은 HackerOne의 바운티 프로그램을 통해서 보고해야 합니다. 문제를 보고하기 전에 프로그램의 대상에 포함되는지 확인하세요. 보고된 유효한 문제는 수정 이후에 공개됩니다.
웹 사이트에 영향을 주는 문제를 발견한 경우에는 GitHub을 통해서 보고하거나 Google Group의 보안 공지를 확인하세요.
Ruby 커뮤니티의 특정 gem에 영향을 주는 문제를 발견했다면, RubyGems.org의 안내를 따라주세요.
HackerOne 이외의 방법으로 보안팀에 연락하고 싶다면, 비공개 메일링 리스트인 security@ruby-lang.org(PGP public key)로 메일을 보내주십시오.
이 메일링 리스트의 멤버는 Ruby를 제공하는 사람들(Ruby 커미터, Ruby 구현부의 저자, 배포 담당자, PaaS 플랫폼 관리자)입니다. 멤버는 반드시 개인이어야 하며, 메일링 리스트는 허용되지 않습니다.
알려진 취약점
다음과 같은 보안 취약점이 보고된 바 있습니다.
- CVE-2024-49761: REXML의 ReDoS 취약점
2024-10-28 - CVE-2024-43398: REXML의 DoS 취약점
2024-08-22 - CVE-2024-41946: REXML의 DoS 취약점
2024-08-01 - CVE-2024-41123: REXML의 DoS 취약점
2024-08-01 - CVE-2024-39908: REXML의 DoS 취약점
2024-07-16 - CVE-2024-35176: REXML의 DoS 취약점
2024-05-16 - CVE-2024-27282: 정규표현식 검색의 임의의 메모리 주소 읽기 취약점
2024-04-23 - CVE-2024-27281: RDoc에서 .rdoc_options 사용 시의 RCE 취약점
2024-03-21 - CVE-2024-27280: StringIO에서 버퍼 초과 읽기 취약점
2024-03-21 - CVE-2023-36617: URI의 ReDoS 취약점
2023-06-29 - CVE-2023-28756: Time의 ReDoS 취약점
2023-03-30 - CVE-2023-28755: URI의 ReDoS 취약점
2023-03-28 - CVE-2021-33621: CGI에서의 HTTP 응답 분할
2022-11-22 - CVE-2022-28738: 정규표현식 컴파일에서의 중복 할당 해제
2022-04-12 - CVE-2022-28739: String에서 Float로 변환할 때의 버퍼 오버런
2022-04-12 - CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장
2021-11-24 - CVE-2021-41816: CGI.escape_html에서의 버퍼 오버런
2021-11-24 - CVE-2021-41817: 날짜 구문 분석 메서드의 정규표현식 서비스 거부(DoS) 취약점
2021-11-15 - CVE-2021-31810: Net::FTP의 FTP PASV 응답 신뢰 취약점
2021-07-07 - CVE-2021-32066: Net::IMAP의 StartTLS 스트립 취약점
2021-07-07 - CVE-2021-31799: RDoc의 명령 주입 취약점
2021-05-02 - CVE-2021-28965: REXML의 XML 왕복 변환(round-trip) 취약점
2021-04-05 - CVE-2021-28966: Windows 환경 Tempfile의 경로 탐색 취약점
2021-04-05 - CVE-2020-25613: WEBrick의 잠재적인 HTTP 요청 스머글링 취약점
2020-09-29 - CVE-2020-10933: 소켓 라이브러리의 힙 메모리 노출 취약점
2020-03-31 - CVE-2020-10663: JSON의 안전하지 않은 객체 생성 취약점(추가 수정)
2020-03-19 - CVE-2019-16201: WEBrick Digest 인증의 정규 표현식 서비스 거부 취약점
2019-10-01 - CVE-2019-15845: File.fnmatch 및 File.fnmatch?의 NUL 주입 취약점
2019-10-01 - CVE-2019-16254: WEBrick의 HTTP 응답 분할 취약점(추가 수정)
2019-10-01 - CVE-2019-16255: Shell#[] 및 Shell#test의 코드 주입 취약점
2019-10-01 - RDoc의 jQuery 취약점 다수 발견
2019-08-28 - RubyGems의 취약점 다수 발견
2019-03-05 - CVE-2018-16395: OpenSSL::X509::Name 비교가 올바르게 동작하지 않는 취약점
2018-10-17 - CVE-2018-16396: tainted 플래그가 Array#pack, String#unpack의 일부 형식에서 전파되지 않는 취약점
2018-10-17 - CVE-2018-6914: tempfile, tmpdir에서 디렉터리 순회를 동반하는 의도하지 않은 파일, 또는 디렉터리 생성 취약점
2018-03-28 - CVE-2018-8779: UNIXServer, UNIXSocket에서 NUL 문자 삽입을 통한 의도치 않은 소켓 생성 취약점
2018-03-28 - CVE-2018-8780: Dir에서 NUL 문자 주입을 통한 의도하지 않은 디렉터리 접근 취약점
2018-03-28 - CVE-2018-8777: WEBrick의 커다란 요청을 통한 서비스 거부 공격 취약점
2018-03-28 - CVE-2017-17742: WEBrick의 HTTP 응답 위장 취약점
2018-03-28 - CVE-2018-8778: String#unpack의 범위 외 읽기 취약점
2018-03-28 - RubyGems의 취약점 다수 발견
2018-02-17 - CVE-2017-17405: Net::FTP의 명령 주입 취약점
2017-12-14 - CVE-2017-10784: WEBrick 베이직 인증에 이스케이프 시퀀스 삽입 취약점 발생
2017-09-14 - CVE-2017-0898: Kernel.sprintf에 버퍼 언더런 취약점 발생
2017-09-14 - CVE-2017-14033: OpenSSL ASN1 디코드할 때 버퍼 언더런 취약점 발생
2017-09-14 - CVE-2017-14064: JSON을 생성할 때 힙 메모리를 노출하는 취약점
2017-09-14 - RubyGems의 취약점 다수 발견
2017-08-29 - CVE-2015-7551: Fiddle, DL의 tainted 문자열 사용 취약점
2015-12-16 - CVE-2015-1855: 루비 OpenSSL 호스트 이름 검증
2015-04-13 - CVE-2014-8090: XML 확장의 또다른 서비스 거부 공격(DoS)
2014-11-13 - CVE-2014-8080: XML 확장의 서비스 거부공격(DoS)
2014-10-27 - ext/openssl의 기본 설정 변경
2014-10-27 - OpenSSL TLS 하트비트 확장의 심각한 취약점 (CVE-2014-0160)
2014-04-10 - YAML URI 이스케이프 파싱의 힙 오버플로 (CVE-2014-2525)
2014-03-29 - 부동소수점 파싱할 때 힙 오버플로 발생 (CVE-2013-4164)
2013-11-22
아직 번역되지 않은 최근 취약점 및 자세한 사항은 영문 페이지를 참조하시기 바랍니다.