在这里你可以找到与 Ruby 安全问题相关的信息。
报告安全漏洞
有关于 Ruby 的安全问题可以通过 HackerOne 悬赏项目 进行提交。请确保在提交问题前仔细阅读我们项目上的详细信息。问题在被修复后会被公开。
如果你找到了一个有关于 Ruby 官方网站的问题,请通过 GitHub 进行提交。
如果你找到了某个特定的 Ruby gem 的问题,请参考 RubyGems.org 介绍页 上的操作进行提交。
如果你需要直接接触我们的安全团队,而不是通过 HackerOne 网站的话,请发送电子邮件到 security@ruby-lang.org(PGP 公钥)。这是个私密邮件列表,报告的问题经修正之后才会公开。
这个邮件列表的成员是为你提供 Ruby 的人(Ruby 提交者和其他 Ruby 实现的作者,分发人和 PaaS 平台商)。这个邮件列表的成员必须是个人,否则不许加入。
已知漏洞
See the English page for a complete and up-to-date list of security vulnerabilities. The following list only includes the as yet translated security announcements, it might be incomplete or outdated.
以下是最近发现的一些漏洞。
- CVE-2024-43398: REXML 中的 DoS 漏洞
2024-08-22 - CVE-2024-41946: REXML 中的 DoS 漏洞
2024-08-01 - CVE-2024-41123: REXML 中的 DoS 漏洞
2024-08-01 - CVE-2024-39908 : REXML 中的 DoS 漏洞
2024-07-16 - CVE-2024-35176: REXML 中的 DoS 漏洞
2024-05-16 - CVE-2024-27282: Regex 搜索中的任意地址读取漏洞
2024-04-23 - CVE-2024-27281: RDoc 中 .rdoc_options 的 RCE 漏洞
2024-03-21 - CVE-2024-27280: StringIO 中的缓存过读漏洞
2024-03-21 - CVE-2023-36617: URI 包中的 ReDoS 漏洞
2023-06-29 - CVE-2023-28756:Time 包中的 ReDoS 漏洞
2023-03-30 - CVE-2023-28755: URI 包中的 ReDoS 漏洞
2023-03-28 - CVE-2021-33621: CGI 中的 HTTP 响应拆分漏洞
2022-11-22 - CVE-2022-28738: Regexp 编译中的双重释放(double free)
2022-04-12 - CVE-2022-28739: String 到 Float 转换中的缓冲区溢出
2022-04-12 - CVE-2020-10933:socket 函数库存在堆内存泄漏风险
2020-03-31 - CVE-2020-10663: JSON 存在任意创建不安全对象风险 (额外修复)
2020-03-19 - CVE-2019-16201:WEBrick 的摘要认证存在正则表达式 DoS 攻击缺陷
2019-10-01 - CVE-2019-15845:File.fnmatch 及 File.fnmatch? 存在 NUL 字节注入缺陷
2019-10-01 - CVE-2019-16254:WEBrick 存在 HTTP 响应切分缺陷(额外修复)
2019-10-01 - CVE-2019-16255:Shell#[] 和 Shell#test 存在代码注入漏洞
2019-10-01 - RDoc 中多个 jQeury 安全性缺陷
2019-08-28 - CVE-2018-16395: OpenSSL::X509::Name 相等检查未正常工作
2018-10-17 - CVE-2018-16396: 特定命令下受污染标记未如实展开到 Array#pack 和 String#unpack 结果中
2018-10-17 - CVE-2018-6914: tempfile 和 tmpdir 库中意外创建文件和目录的缺陷
2018-03-28 - CVE-2018-8779: UNIXServer 与 UNIXSocket 中污染的 NUL 字节可创建意外的 Socket
2018-03-28 - CVE-2018-8780: Dir 中污染的 NUL 字节可触发意外目录穿越
2018-03-28 - CVE-2018-8777: WEBrick 大请求 DoS 缺陷
2018-03-28 - CVE-2017-17742: WEBrick 回复分离缺陷
2018-03-28 - CVE-2018-8778: String#unpack 中缓冲区欠读缺陷
2018-03-28 - RubyGems 存在多个安全风险
2018-02-17 - CVE-2017-17405: Net::FTP 存在命令注入缺陷
2017-12-14 - CVE-2017-10784: WEBrick 基本认证转义序列缺陷
2017-09-14 - CVE-2017-0898: Kernel.sprintf 缓冲区欠载缺陷
2017-09-14 - CVE-2017-14033: OpenSSL ASN1 解码时缓冲区欠载缺陷
2017-09-14 - CVE-2017-14064: 生成 JSON 时的堆暴露缺陷
2017-09-14 - RubyGems 发现多个漏洞
2017-08-29 - CVE-2015-7551: Fiddle 与 DL 中使用了不安全的字符串调用
2015-12-16 - CVE-2015-1855: Ruby OpenSSL 主机名验证风险
2015-04-13 - CVE-2014-8090:另一个 XML 洪水攻击
2014-11-13 - 更改 ext/openssl 默认设置
2014-10-27
以前发布的关于安全的文章参见英文版网站中的相应页面。