Di sini Anda akan menemukan informasi terkait isu-isu keamanan dari Ruby.
Melaporkan Kerentanan Keamanan
Kerentanan keamanan pada bahasa pemrograman Ruby harus dilaporkan melalui halaman bounty program di HackerOne. Mohon pastikan Anda membaca detail seputar ruang lingkup dari program ini sebelum melaporkan sebuah isu. Laporan yang valid akan dipublikasikan setelah perbaikan dilakukan.
Jika Anda menemukan sebuah isu yang berdampak pada salah satu laman kami, mohon laporkan melalui GitHub atau Anda dapat mengecek Google Groups untuk pemberitahuan.
Jika Anda menemukan sebuah isu pada Ruby gem tertentu, ikuti instruksi pada RubyGems.org.
Agar terhubung dengan tim keamanan secara langsung di luar HackerOne, Anda dapat mengirim surel ke security@ruby-lang.org (PGP public key), yang merupakan sebuah mailing list pribadi.
Anggota dari mailing list tersebut adalah orang-orang yang merawat Ruby (Ruby committer dan author dari implementasi Ruby lainnya, distributor, dan PaaS platformer). Anggota harus seorang individu, mailing list tidak diizinkan.
Isu-isu yang diketahui
Lihat halaman bahasa Inggris untuk daftar kerentanan keamanan yang lengkap dan terbaru. Daftar berikut hanya berisi pemberitahuan yang telah diterjemahkan, mungkin tidak lengkap atau usang.
Berikut adalah isu-isu terkini:
- CVE-2023-36617: Kerentanan ReDoS pada URI
2023-06-29 - CVE-2023-28756: Kerentanan ReDoS pada Time
2023-03-30 - CVE-2023-28755: Kerentanan ReDoS pada URI
2023-03-28 - CVE-2021-33621: HTTP response splitting pada CGI
2022-11-22 - CVE-2022-28738: Double free pada Regexp compilation
2022-04-12 - CVE-2022-28739: Buffer overrun pada konversi String-to-Float
2022-04-12 - CVE-2021-41819: Cookie Prefix Spoofing pada CGI::Cookie.parse
2021-11-24 - CVE-2021-41816: Buffer Overrun pada CGI.escape_html
2021-11-24 - CVE-2021-41817: Kerentanan Regular Expression Denial of Service dari Date Parsing Method
2021-11-15 - CVE-2021-31810: Kerentanan respons FTP PASV yang dipercaya pada Net::FTP
2021-07-07 - CVE-2021-32066: Kerentanan StartTLS stripping pada Net::IMAP
2021-07-07 - CVE-2021-31799: Sebuah kerentanan command injection pada RDoc
2021-05-02 - CVE-2021-28965: Kerentanan XML round-trip pada REXML
2021-04-05 - CVE-2021-28966: Path traversal pada Tempfile di Windows
2021-04-05 - CVE-2020-25613: Potensi Kerentanan HTTP Request Smuggling pada WEBrick
2020-09-29 - CVE-2020-10933: Kerentanan tereksposnya heap pada pustaka socket
2020-03-31 - CVE-2020-10663: Kerentanan Penciptaan Unsafe Object pada JSON (Perbaikan tambahan)
2020-03-19 - CVE-2019-16201: Kerentanan Regular Expression Denial of Service dari WEBrick's Digest access authentication
2019-10-01 - CVE-2019-15845: Sebuah kerentanan injeksi NUL dari File.fnmatch dan File.fnmatch?
2019-10-01 - CVE-2019-16254: Pemisahan respons HTTP pada WEBrick (Perbaikan tambahan)
2019-10-01 - CVE-2019-16255: Sebuah kerentanan injeksi kode dari Shell#[] dan Shell#test
2019-10-01 - Beberapa kerentanan jQuery pada RDoc
2019-08-28 - Beberapa kerentanan pada RubyGems
2019-03-05 - CVE-2018-16395: Pemeriksaan kesetaraan OpenSSL::X509::Name tidak berfungsi dengan benar
2018-10-17 - CVE-2018-16396: Penanda tercemar tidak disebarkan ke Array#pack dan String#unpack dengan beberapa arahan
2018-10-17 - CVE-2018-6914: Pembuatan berkas dan direktori yang tidak disengaja dengan directory traversal pada tempfile dan tmpdir
2018-03-28 - CVE-2018-8779: Pembuatan socket yang tidak disengaja karena poisoned NUL byte pada UNIXServer dan UNIXSocket
2018-03-28 - CVE-2018-8780: Directory traversal yang tidak disengaja oleh poisoned NUL byte pada Dir
2018-03-28 - CVE-2018-8777: DoS karena permintaan yang besar pada WEBrick
2018-03-28 - CVE-2017-17742: Pemisahan respons HTTP pada WEBrick
2018-03-28 - CVE-2018-8778: Buffer under-read pada String#unpack
2018-03-28 - Beberapa kerentanan pada RubyGems
2018-02-17 - CVE-2017-17405: Kerentanan command injection pada Net::FTP
2017-12-14 - CVE-2017-10784: Kerentanan escape sequence injection pada Basic authentication WEBrick
2017-09-14 - CVE-2017-0898: Kerentanan buffer underrun pada Kernel.sprintf
2017-09-14 - CVE-2017-14033: Kerentanan buffer underrun pada OpenSSL ASN1 decode
2017-09-14 - CVE-2017-14064: Kerentanan tereksposnya heap saat menghasilkan JSON
2017-09-14 - Beberapa Kerentanan di RubyGems
2017-08-29 - CVE-2015-7551: Cacat penggunaan string yang tidak aman pada Fiddle dan DL
2015-12-16 - CVE-2015-1855: Ruby OpenSSL Hostname Verification
2015-04-13 - CVE-2014-8090: Denial of Service Lain Ekspansi pada XML
2014-11-13 - CVE-2014-8080: Denial of Service pada Ekspansi XML
2014-10-27 - Perubahan Pengaturan Default dari ext/openssl
2014-10-27 - Heap Overflow dalam Floating Point Parsing (CVE-2013-4164)
2013-11-22 - Kerentanan Cek Hostname Terlewati pada Klien SSL (CVE-2013-4073)
2013-06-27 - Taint Object mem-bypass DL dan Fiddle pada Ruby (CVE-2013-2065)
2013-05-14
dan isu lainnya:
- Kerentanan DoS Ekspansi Entity pada REXML (Bom XML, CVE-2013-1821) dipublikasikan pada 22 Februari 2013.
- Denial of Service dan Kerentanan Penciptaan Unsafe Object pada JSON (CVE-2013-0269) dipublikasikan pada 22 Februari 2013.
- XSS exploit of RDoc documentation generated by rdoc (CVE-2013-0256) dipublikasikan pada 6 Februari 2013.
- Kerentanan DoS Hash-flooding untuk Ruby 1.9 (CVE-2012-5371) dipublikasikan pada 10 November 2012.
- Pembuatan File Tak Sengaja yang Disebabkan Memasukkan Karakter NUL Ilegal (CVE-2012-4522) dipublikasikan pada 12 Oktober 2012.
- $SAFE escaping vulnerability about Exception#to_s / NameError#to_s (CVE-2012-4464, CVE-2012-4466) dipublikasikan pada 12 Oktober 2012.
- Security Fix for RubyGems: SSL server verification failure for remote repository dipublikasikan pada 20 April 2012.
- Security Fix for Ruby OpenSSL module: Allow 0/n splitting as a prevention for the TLS BEAST attack dipublikasikan pada 16 Februari 2012.
- Serangan Denial of Service Ditemukan pada Algoritma Hash Ruby (CVE-2011-4815) dipublikasikan pada 28 Desember 2011.
Untuk isu-isu sebelumnya lihat halaman bahasa Inggris.