Здесь вы найдете информацию по вопросам безопасности Ruby.
Как сообщить об уязвимости
Информация об уязвимости должна быть отправлена по почте на security@ruby-lang.org (публичный ключ PGP). Данный адрес является частной почтовой рассылкой. Сообщенная информация будет опубликована сразу после того как уязвимость будет исправлена.
Известные проблемы
See the English page for a complete and up-to-date list of security vulnerabilities. The following list only includes the as yet translated security announcements, it might be incomplete or outdated.
Ниже перечислены недавние проблемы.
- CVE-2021-31810: Уязвимость доверия к PASV-ответам FTP в Net::FTP
2021-07-07 - CVE-2021-32066: Уязвимость StartTLS stripping в Net::IMAP
2021-07-07 - CVE-2021-31799: Уязвимость внедрения команды в RDoc
2021-05-02 - CVE-2021-28965: Уязвимость round-trip кодирования в REXML
2021-04-05 - CVE-2021-28966: Уязвимость обхода каталога в Tempfile на Windows
2021-04-05 - CVE-2020-25613: Потенциальная уязвимость скрытого HTTP запроса в WEBrick
2020-09-29 - CVE-2020-10933: Уязвимость воздействия кучи в библиотеке сокетов
2020-03-31 - CVE-2020-10663: Уязвимость небезопасного создания объекта в JSON (дополнительное исправление)
2020-03-19 - CVE-2019-16201: Уязвимость отказа в обслуживании от регулярного выражения в дайджест-аутентификации WEBrick'а
2019-10-01 - CVE-2019-15845: Уязвимость NUL инъекции в File.fnmatch и File.fnmatch?
2019-10-01 - CVE-2019-16254: Разделение HTTP-ответа в WEBrick (Дополняющее исправление)
2019-10-01 - CVE-2019-16255: Уязвимость внедрения кода в Shell#[] и Shell#test
2019-10-01 - Множественные уязвимости jQuery в RDoc
2019-08-28 - CVE-2017-17405: Уязвимость типа командная инъекция в Net::FTP
2017-12-14 - CVE-2015-1855: Ruby OpenSSL верификация имени хоста
2015-04-13 - CVE-2014-8080: DoS уязвимость в REXML
2014-10-27 - Изменились дефолтные настройки ext/openssl
2014-10-27 - Рассуждения об уязвимости CVE-2014-2734
2014-05-09 - Серьезная уязвимость в OpenSSL в расширении TLS Heartbeat (CVE-2014-0160)
2014-04-10 - Переполнение буфера в модуле YAML для URI-закодированных строк (CVE-2014-2525)
2014-03-29 - Переполнение кучи при парсинге плавающей запятой (CVE-2013-4164)
2013-11-22 - Уязвимость проверки имени хоста в SSL клиенте (CVE-2013-4073)
2013-06-27 - Уязвимость объектов через DL и Fiddle в Ruby (CVE-2013-2065)
2013-05-14
- Суть DoS уязвимости в REXML (XML bomb, CVE-2013-1821) опубликовано 22 февраля 2013.
- Недоступность сервиса и небезопасное создание объекта в JSON (CVE-2013-0269) опубликовано 22 февраля 2013.
- XSS эксплоит RDoc документации, сгенерированной rdoc (CVE-2013-0256) опубликовано 6 февраля 2013.
See the English page for prior security related posts.