Безпека

Тут ви знайдете інформацію про питання безпеки Ruby.

Повідомлення про вразливості безпеки

Вразливості безпеки в мові програмування Ruby слід повідомляти через нашу сторінку bounty-програми на HackerOne. Будь ласка, перед поданням уважно ознайомтеся з деталями щодо сфери охоплення нашої програми. Усі коректно повідомлені проблеми будуть опубліковані після виправлень.

Якщо ви знайшли проблему, що стосується одного з наших вебсайтів, будь ласка, повідомте про неї через GitHub або перегляньте наші Google Groups для оголошень про безпеку.

Якщо ви знайшли проблему, що стосується gem-а спільноти Ruby, дотримуйтесь інструкцій на RubyGems.org.

Щоб напряму зв’язатися з командою безпеки поза HackerOne, можна надіслати лист на security@ruby-lang.org (публічний PGP-ключ), що є приватною поштовою розсилкою.

Членами цієї розсилки є люди, які надають Ruby (комітери Ruby та автори інших реалізацій Ruby, дистриб’ютори, постачальники PaaS-платформ). Членами мають бути окремі люди, поштові списки не допускаються.

Відомі проблеми

Дивіться англійську сторінку для повного та актуального списку вразливостей безпеки. Нижче наведено лише вже перекладені оголошення про безпеку; список може бути неповним або застарілим.

Ось нещодавні проблеми:

• CVE-2025-61594: обхід попередніх виправлень витоку облікових даних URI
  2025-10-07
• CVE-2025-58767: DoS-вразливість у REXML
  2025-09-18
• CVE-2025-24294: Можлива відмова в обслуговуванні у gem resolv
  2025-07-08
• CVE-2025-43857: DoS-вразливість у net-imap
  2025-04-28
• Повідомлення з безпеки: CVE-2025-27219, CVE-2025-27220 та CVE-2025-27221
  2025-02-26
• CVE-2025-25186: DoS-вразливість у net-imap
  2025-02-10

Більше відомих проблем:

• DoS-вразливість через розширення сутностей у REXML (XML bomb, CVE-2013-1821) опубліковано 22 лютого 2013.
• Вразливість DoS і небезпечне створення об’єктів у JSON (CVE-2013-0269) опубліковано 22 лютого 2013.
• XSS-експлойт документації RDoc, згенерованої rdoc (CVE-2013-0256) опубліковано 6 лютого 2013.
• DoS-вразливість hash-flooding для Ruby 1.9 (CVE-2012-5371) опубліковано 10 листопада 2012.
• Ненавмисне створення файлів через вставку некоректного NUL-символу (CVE-2012-4522) опубліковано 12 жовтня 2012.
• Вразливість обходу $SAFE у Exception#to_s / NameError#to_s (CVE-2012-4464, CVE-2012-4466) опубліковано 12 жовтня 2012.
• Виправлення безпеки RubyGems: збій перевірки SSL-сервера для віддаленого репозиторію опубліковано 20 квітня 2012.
• Виправлення безпеки модуля Ruby OpenSSL: дозволити розділення 0/n як захист від атаки TLS BEAST опубліковано 16 лютого 2012.
• Виявлено DoS-атаку на алгоритм хешування Ruby (CVE-2011-4815) опубліковано 28 грудня 2011.
• Методи Exception можуть обходити $SAFE опубліковано 18 лютого 2011.
• FileUtils вразливий до атак на гонку символічних посилань опубліковано 18 лютого 2011.
• XSS у WEBrick (CVE-2010-0541) опубліковано 16 серпня 2010.
• Переповнення буфера в ARGF.inplace_mode= опубліковано 2 липня 2010.
• WEBrick має вразливість ін’єкції escape-послідовностей опубліковано 10 січня 2010.
• Heap overflow у String (CVE-2009-4124) опубліковано 7 грудня 2009.
• DoS-вразливість у BigDecimal опубліковано 9 червня 2009.
• DoS-вразливість у REXML опубліковано 23 серпня 2008.
• Кілька вразливостей у Ruby опубліковано 8 серпня 2008.
• Вразливості виконання довільного коду опубліковано 20 червня 2008.
• Вразливість доступу до файлів у WEBrick опубліковано 3 березня 2008.
• Вразливість Net::HTTPS опубліковано 4 жовтня 2007.
• Ще одна DoS-вразливість у бібліотеці CGI опубліковано 4 грудня 2006.
• DoS-вразливість у бібліотеці CGI (CVE-2006-5467) опубліковано 3 листопада 2006.
• Вразливість Ruby у налаштуваннях рівня safe опубліковано 2 жовтня 2005.