Burada Ruby’nin güvenlik ile ilgili konuları hakkında bilgi bulacaksınız.
Güvenlik Açıklarını Bildirme
Ruby programlama dilindeki güvenlik açıkları HackerOne’daki ödül programı sayfamız yoluyla bildirilmelidir. Lütfen bir sorun bildirmeden önce programımızın kapsamı hakkında özel ayrıntıları okuduğunuza emin olun. Geçerli bildirilen problemler düzeltmelerden sonra yayınlanacaktır.
Websitelerimizden birini etkileyen bir sorun bulduysanız, lütfen bunu GitHub aracılığıyla bildirin.
Belirli bir Ruby gem’ini etkileyen bir sorun bulduysanız, RubyGems.org’daki talimatları takip edin.
Eğer HackerOne dışında güvenlik ekibi ile doğrudan temasa geçmeye ihtiyacınız varsa, özel bir e-posta listesi olan security@ruby-lang.org’a (PGP genel anahtarı) e-posta gönderebilirsiniz.
E-posta listesinin üyeleri Ruby’yi sağlayan kişilerdir (Ruby işleyicileri ve diğer Ruby gerçeklemelerinin sahipleri, dağıtıcılar, PaaS platformcuları). Üyeler bireysel kişiler olmalıdır, e-posta listelerine izin verilmez.
Bilinen sorunlar
See the English page for a complete and up-to-date list of security vulnerabilities. The following list only includes the as yet translated security announcements, it might be incomplete or outdated.
İşte son sorunlar:
- CVE-2021-31810: Net::FTP'de FTP PASV yanıtlarına güvenme zaafiyeti
2021-07-07 - CVE-2021-32066: Net::IMAP'te bir StartTLS çıkarma zaafiyeti
2021-07-07 - CVE-2021-31799: RDoc'ta bir komut satırı enjeksiyon zaafiyeti
2021-05-02 - CVE-2021-28965: REXML'de XML gidiş-dönüş zaafiyeti
2021-04-05 - CVE-2021-28966: Windows'ta Tempfile içinde yol geçişi
2021-04-05 - CVE-2020-25613: WEBrick'te Potansiyel HTTP İsteği Kaçakçılığı Zaafiyeti
2020-09-29 - CVE-2020-10933: Soket kütüphanesinde heap teşhir zaafiyeti
2020-03-31 - CVE-2020-10663: JSON'da Güvensiz Nesne Oluşturma Zaafiyeti (Ek düzeltme)
2020-03-19 - CVE-2019-16201: WEBrick'in Özet erişim kimlik doğrulamasında Düzenli İfade Hizmet Reddi güvenlik açığı
2019-10-01 - CVE-2019-15845: File.fnmatch and File.fnmatch?'te NUL enjeksiyonu güvenlik açığı
2019-10-01 - CVE-2019-16254: WEBrick'te HTTP yanıtı ayırma (Ek düzeltme)
2019-10-01 - CVE-2019-16255: Shell#[] ve Shell#test'in bir kod enjeksiyonu güvenlik açığı
2019-10-01 - RDoc'ta birden fazla jQuery güvenlik açığı
2019-08-28 - RubyGems'te birçok güvenlik açığı
2019-03-05 - CVE-2018-6914: tempfile ve tmpdir'de dizin geçişi ile kasıtsız dosya ve dizin oluşturma
2018-03-28 - Kayan Noktalı Sayıların Çözümlenmesinde Bellek Taşması (CVE-2013-4164)
2013-11-22
Daha fazla bilindik sorun:
- REXML’de varlık genişlemesi DoS güvenlik açığı (XML bombası, CVE-2013-1821) 22 Şubat 2013’te yayınlanmıştır.
- JSON’da Hizmet Reddi ve Güvensiz Nesne Oluşturma Güvenlik Açığı (CVE-2013-0269) 22 Şubat 2013’te yayınlanmıştır.
- rdoc tarafından oluşturulan RDoc belgelendirmesinde XSS sömürüsü (CVE-2013-0256) 6 Şubat 2013’te yayınlanmıştır.
- Ruby 1.9 için hash seli DoS güvenlik açığı (CVE-2012-5371) 10 Kasım 2012’de yayınlanmıştır.
- Geçersiz bir NUL karakteri eklenerek istenmeyen dosya oluşturma character (CVE-2012-4522) 12 Ekim 2012’de yayınlanmıştır.
- Exception#to_s / NameError#to_s hakkında $SAFE kaçırma güvenlik açığı (CVE-2012-4464, CVE-2012-4466) 12 Ekim 2012’de yayınlanmıştır.
- RubyGems için Güvenlik Düzeltmesi: Uzak depo için SSL sunucusu onaylama başarısızlığı 20 Nisan 2012’de yayınlanmıştır.
- Ruby OpenSSL modülü için Güvenlik Düzeltmesi: TLS BEAST saldırısını engellemek için 0/n ayırmaya izin ver 16 Şubat 2012’de yayınlanmıştır.
- Ruby’nin Hash algoritması için hizmet reddi saldırısı bulundu (CVE-2011-4815) 28 Aralık 2011’de yayınlanmıştır.
- İstisna metodları $SAFE’i atlayabilir 18 Şubat 2011’de yayınlanmıştır.
- FileUtils, kısayol bağlantısı yarış saldırılarına açık 18 Şubat 2011’de yayınlanmıştır.
- WEBrick’te XSS (CVE-2010-0541) 16 Ağustos 2010’da yayınlanmıştır.
- ARGF.inplace_mode=’da tampon aşırı çalışması 2 Temmuz 2010’da yayınlanmıştır.
- WEBrick’te Kaçış Dizisi Enjeksiyonu güvenlik açığı var 10 Ocak 2010’da yayınlanmıştır.
- String’de Heap taşması (CVE-2009-4124) 7 Aralık 2009’da yayınlanmıştır.
- BigDecimal’da DoS güvenlik açığı 9 Haziran 2009’da yayınlanmıştır.
- REXML’de DoS güvenlik açığı 23 Ağustos 2008’de yayınlanmıştır.
- Ruby’de birden çok güvenlik açığı 8 Ağustos 2008’de yayınlanmıştır.
- Keyfi kod yürütme güvenlik açıkları 20 Haziran 2008’de yayınlanmıştır.
- WEBrick’in dosya erişimi güvenlik açığı 3 Mart 2008’de yayınlanmıştır.
- Net::HTTPS Güvenlik Açığı 4 Ekim 2007’de yayınlanmıştır.
- CGI Kütüphanesinde Bir Başka DoS Güvenlik Açığı 4 Aralık 2006’da yayınlanmıştır.
- CGI Kütüphanesinde DoS Güvenlik Açığı (CVE-2006-5467) 3 Kasım 2006’da yayınlanmıştır.
- Güvenli seviye ayarlarında Ruby güvenlik açığı 2 Ekim 2005’te yayınlanmıştır.