這裡可以找到關於 Ruby 安全風險的資訊。
回報安全風險
關於 Ruby 的安全問題可以通過 HackerOne 賞金項目進行回報。請確保在提交安全風險前仔細閱讀我們項目頁上的詳細訊息。回報的風險會在修正之後公開。
如發現有關於 Ruby 官方網站的問題,請通過 GitHub 進行提交。
如你找到某個特定的 Ruby gem 的問題,請參考 RubyGems.org 介紹頁面上的指南進行提交。
如果你需要直接聯繫我們的安全團隊,而不是通過 HackerOne 網站的話,請發送電子郵件到 security@ruby-lang.org(the PGP public key)。這是保密的郵件群組。回報的風險會在修正之後公開。
已知風險
See the English page for a complete and up-to-date list of security vulnerabilities. The following list only includes the as yet translated security announcements, it might be incomplete or outdated.
以下是近期風險:
- CVE-2024-49761: REXML ReDoS 漏洞
2024-10-28 - CVE-2024-43398: REXML DoS 漏洞
2024-08-22 - CVE-2024-41946: REXML DoS 漏洞
2024-08-01 - CVE-2024-41123: REXML DoS 漏洞
2024-08-01 - CVE-2024-39908: REXML DoS 漏洞
2024-07-16 - CVE-2024-35176: REXML DoS 漏洞
2024-05-16 - CVE-2024-27282: Regex 搜尋的任意記憶體位址讀取漏洞
2024-04-23 - CVE-2024-27281: RDoc 中 .rdoc_options 的 RCE 漏洞
2024-03-21 - CVE-2024-27280: StringIO 中的緩衝區 overread 漏洞
2024-03-21 - CVE-2021-33621: CGI 存在 HTTP 響應切分風險
2022-11-22 - CVE-2022-28738: Regexp 編譯時雙重釋放風險
2022-04-12 - CVE-2022-28739: String 轉換 Float 時緩衝區溢位
2022-04-12 - CVE-2020-10933:socket 函式庫存在記憶體堆疊資料洩漏風險
2020-03-31 - CVE-2020-10663: JSON 存在任意建立物件安全性風險 (額外修正)
2020-03-19 - CVE-2019-16201:WEBrick 的摘要認證存在正則表達式阻斷服務攻擊風險
2019-10-01 - CVE-2019-15845:File.fnmatch 及 File.fnmatch? 存在 NUL 字元注入風險
2019-10-01 - CVE-2019-16254:WEBrick 存在 HTTP 響應切分風險(額外修復)
2019-10-01 - CVE-2019-16255:Shell#[] 和 Shell#test 存在代碼注入風險
2019-10-01 - RDoc 中多個 jQeury 安全性風險
2019-08-28 - RubyGems 多個安全性風險
2019-03-05 - CVE-2018-16395: OpenSSL::X509::Name 相等檢查未正常工作
2018-10-17 - CVE-2018-16396: 特定命令下受污染標記未能如實展開到 Array#pack 和 String#unpack 結果中
2018-10-17 - CVE-2018-6914: Tempfile 與 Tmpdir 肆意建立檔案與目錄
2018-03-28 - CVE-2018-8779: UNIXServer 與 UNIXSocket 可傳入 NUL 字元肆意建立 socket
2018-03-28 - CVE-2018-8780: Dir 非預期的目錄遍歷
2018-03-28 - CVE-2018-8777: WEBrick 巨大請求造成的阻斷服務
2018-03-28 - CVE-2017-17742: WEBrick HTTP 響應切分
2018-03-28 - CVE-2018-8778: String#unpack 緩衝區溢位
2018-03-28 - RubyGems 存在多個安全性風險
2018-02-17 - CVE-2017-17405: Net::FTP 命令注入安全性風險
2017-12-14 - CVE-2017-10784: WEBrick 基本認證的轉義序列注入安全性風險
2017-09-14 - CVE-2017-0898: Kernel.sprintf 緩衝區掏空的安全性風險
2017-09-14 - CVE-2017-14033: OpenSSL ASN1 解碼時緩衝區掏空的安全性風險
2017-09-14 - CVE-2017-14064: 在生成 JSON 時堆積暴露的安全性風險
2017-09-14 - RubyGems 多個安全性風險
2017-08-29 - CVE-2015-7551: Fiddle 與 DL 不安全的字串用途瑕疵存在安全性風險
2015-12-16 - CVE-2015-1855: Ruby OpenSSL 主機名稱驗證風險
2015-04-13 - CVE-2014-8090:另一個 XML 阻斷攻擊
2014-11-13 - CVE-2014-8080:XML 擴張的阻斷攻擊
2014-10-27 - 修改 ext/openssl 的預設選項
2014-10-27 - OpenSSL 的 TLS Heartbeat Extension 存在嚴重安全性風險(CVE-2014-0160)
2014-04-10 - YAML 解析 URI 存在 Heap 溢出風險(CVE-2014-2525)
2014-03-29 - 浮點數解析存在溢出風險 (CVE-2013-4164)
2013-11-22 - OpenSSL 繞過主機名檢查的風險(CVE-2013-4073)
2013-06-27
See the English page for prior security related posts.