Rubyのセキュリティ問題に関連する情報を紹介します。
セキュリティ問題の報告窓口
Rubyのセキュリティに関する問題の報告は、security@ruby-lang.org (PGP公開鍵) までお願いします。
security@ruby-lang.orgは非公開MLで、報告された問題が確認され、対策が講じられた後に、問題が一般に公開されます。
既知のセキュリティ問題
新しいものから順に並べています。
- DL および Fiddle におけるオブジェクト汚染フラグバイパス (CVE-2013-2065) 2013年05月14日公開
- REXML におけるエンティティ展開に伴うサービス不能攻撃について 2013年02月22日公開
- JSON におけるサービス不能攻撃および安全でないオブジェクトの生成について (CVE-2013-0269) 2013年02月22日公開
- RDoc で生成した HTML ドキュメントにおける XSS 脆弱性 (CVE-2013-0256) 2013年02月06日公開
- ruby 1.9 におけるハッシュ飽和攻撃による DoS 脆弱性 (CVE-2012-5371) 2012年11月10日公開
- 不当な NUL 文字挿入によって意図しないファイルが生成されうる脆弱性の対応 2012年10月12日公開
- Exception#to_s 等による $SAFE 機構をバイパス可能な脆弱性の対応 (CVE-2012-4464, CVE-2012-4466) 2012年10月12日公開
- Security Fix for RubyGems: SSL server verification failure for remote repository 2012年4月20日公開
- Security Fix for Ruby OpenSSL module: Allow 0/n splitting as a prevention for the TLS BEAST attack 2012年2月16日公開
- ruby 1.8 におけるハッシュ飽和攻撃による DoS 脆弱性 (CVE-2011-4815) 2011年12月28日公開
- Exceptionのメソッドの$SAFE機構をバイパス可能な脆弱性について 2011年2月18日公開
- FileUtilsのsymlink race attack脆弱性について 2011年2月18日公開
- WEBrickのXSS脆弱性 (CVE-2010-0541) 2010年8月16日公開
- ARGF.inplace_mode=にバッファーオーバーフロー 2010年7月2日公開
- WEBrickにエスケープシーケンス挿入の脆弱性 2010年1月10日公開
- Stringのヒープオーバーフロー 2009年12月7日公開
- BigDecimalのDoS脆弱性 2009年6月10日公開
- DLで汚染チェックが行われない脆弱性 2009年5月12日公開
- REXMLのDoS脆弱性 2008年8月23日公開
- Rubyに複数の脆弱性 2008年8月8日公開
- 任意のコードが実行される脆弱性について 2008年6月20日公開
- WEBrickの非公開ファイルにアクセスされる脆弱性について 2008年3月3日公開
- net/httpsライブラリにおける「中間者によるなりすまし攻撃」に対する脆弱性について 2007年10月4日公開
- もう一つのCGIライブラリのDoS脆弱性について 2006年12月4日公開
- CGIライブラリのDoS脆弱性について 2006年11月2日公開
- alias機能の問題でセーフレベル4がサンドボックスとして機能しない脆弱性について 2006年9月13日公開
- 特定メソッドの問題でセーフレベル 4 がサンドボックスとして機能しない脆弱性について 2006年9月13日公開
- XMLRPC DoS脆弱性について 2005年11月21日公開
- WEBrick DoS脆弱性について 2005年11月21日公開
- セーフレベルの設定が回避可能となる脆弱性について 2005年9月22日公開
- XMLRPC.iPIMethodsの脆弱性について 2005年7月1日公開
Posted by usa on 02 Jun 2006