Безопасность

Здесь вы найдёте информацию об уязвимостях Ruby.

Сообщение об уязвимостях

Об уязвимостях в языке программирования Ruby следует сообщать через нашу страницу программы HackerOne или по электронной почте security@ruby-lang.org (открытый PGP-ключ), которая является закрытым списком рассылки. Пожалуйста, ознакомьтесь с подробностями о рамках нашей программы перед сообщением о проблеме. Любые подтверждённые проблемы будут опубликованы после исправления.

Если вы обнаружили проблему, затрагивающую один из наших веб-сайтов, пожалуйста, сообщите об этом через GitHub.

Если вы нашли проблему, которая затрагивает конкретный гем сообщества Ruby, следуйте инструкциям на RubyGems.org.

Список рассылки по безопасности

В список рассылки security@ruby-lang.org входят люди, которые предоставляют Ruby (коммиттеры Ruby и авторы других реализаций Ruby, дистрибьюторы, PaaS-платформы).

Участниками должны быть отдельные люди, списки рассылки не допускаются. Если вы представляете одну из этих организаций, пожалуйста, свяжитесь с нами, чтобы присоединиться к списку.

Известные проблемы

Смотрите английскую версию страницы для получения полного и актуального списка уязвимостей. Ниже приведен список только переведенных объявлений о безопасности, он может быть неполным или устаревшим.

Последние проблемы:

• CVE-2026-27820: Уязвимость переполнения буфера в Zlib::GzipReader
  2026-03-05
• CVE-2025-61594: обход предыдущих исправлений утечки учетных данных в URI
  2025-10-07
• CVE-2025-58767: Уязвимость DoS в REXML
  2025-09-18
• CVE-2025-24294: Возможен отказ в обслуживании (DoS) в гемe resolv
  2025-07-08
• CVE-2025-43857: Уязвимость, приводящая к DoS, в net-imap
  2025-04-28
• Рекомендации по безопасности: CVE-2025-27219, CVE-2025-27220 и CVE-2025-27221
  2025-02-26
• CVE-2025-25186: DoS уязвимость в net-imap
  2025-02-10
• CVE-2021-31810: Уязвимость доверия к PASV-ответам FTP в Net::FTP
  2021-07-07
• CVE-2021-32066: Уязвимость StartTLS stripping в Net::IMAP
  2021-07-07
• CVE-2021-31799: Уязвимость внедрения команды в RDoc
  2021-05-02
• CVE-2021-28965: Уязвимость round-trip кодирования в REXML
  2021-04-05
• CVE-2021-28966: Уязвимость обхода каталога в Tempfile на Windows
  2021-04-05
• CVE-2020-25613: Потенциальная уязвимость скрытого HTTP запроса в WEBrick
  2020-09-29
• CVE-2020-10933: Уязвимость воздействия кучи в библиотеке сокетов
  2020-03-31
• CVE-2020-10663: Уязвимость небезопасного создания объекта в JSON (дополнительное исправление)
  2020-03-19
• CVE-2019-16201: Уязвимость отказа в обслуживании от регулярного выражения в дайджест-аутентификации WEBrick'а
  2019-10-01
• CVE-2019-15845: Уязвимость NUL инъекции в File.fnmatch и File.fnmatch?
  2019-10-01
• CVE-2019-16254: Разделение HTTP-ответа в WEBrick (Дополняющее исправление)
  2019-10-01
• CVE-2019-16255: Уязвимость внедрения кода в Shell#[] и Shell#test
  2019-10-01
• Множественные уязвимости jQuery в RDoc
  2019-08-28
• CVE-2017-17405: Уязвимость типа командная инъекция в Net::FTP
  2017-12-14
• CVE-2015-1855: Ruby OpenSSL верификация имени хоста
  2015-04-13
• CVE-2014-8080: DoS уязвимость в REXML
  2014-10-27
• Изменились дефолтные настройки ext/openssl
  2014-10-27
• Рассуждения об уязвимости CVE-2014-2734
  2014-05-09
• Серьезная уязвимость в OpenSSL в расширении TLS Heartbeat (CVE-2014-0160)
  2014-04-10
• Переполнение буфера в модуле YAML для URI-закодированных строк (CVE-2014-2525)
  2014-03-29
• Переполнение кучи при парсинге плавающей запятой (CVE-2013-4164)
  2013-11-22
• Уязвимость проверки имени хоста в SSL клиенте (CVE-2013-4073)
  2013-06-27
• Уязвимость объектов через DL и Fiddle в Ruby (CVE-2013-2065)
  2013-05-14

Другие известные проблемы:

• Уязвимость DoS через расширение сущностей в геме REXML (XML-бомба, CVE-2013-1821) опубликовано 22 февраля 2013 г.
• Уязвимость к отказу в обслуживании (DoS) и небезопасному созданию объектов в JSON (CVE-2013-0269) опубликовано 22 февраля 2013 г.
• XSS-эксплойт в документации RDoc, сгенерированной rdoc (CVE-2013-0256) опубликовано 6 февраля 2013 г.
• Hash-flooding DoS vulnerability for ruby 1.9 (CVE-2012-5371) published at 10 Nov, 2012.
• Unintentional file creation caused by inserting a illegal NUL character (CVE-2012-4522) published at 12 Oct, 2012.
• $SAFE escaping vulnerability about Exception#to_s / NameError#to_s (CVE-2012-4464, CVE-2012-4466) published at 12 Oct, 2012.
• Security Fix for RubyGems: SSL server verification failure for remote repository published at 20 Apr, 2012.
• Security Fix for Ruby OpenSSL module: Allow 0/n splitting as a prevention for the TLS BEAST attack published at 16 Feb, 2012.
• Denial of service attack was found for Ruby's Hash algorithm (CVE-2011-4815) published at 28 Dec, 2011.
• Exception methods can bypass $SAFE published at 18 Feb, 2011.
• FileUtils is vulnerable to symlink race attacks published at 18 Feb, 2011.
• XSS in WEBrick (CVE-2010-0541) published at 16 Aug, 2010.
• Buffer over-run in ARGF.inplace_mode= published at 2 Jul, 2010.
• WEBrick has an Escape Sequence Injection vulnerability (CVE-2009-4492) published at 10 Jan, 2010.
• Heap overflow in String (CVE-2009-4124) published at 7 Dec, 2009.
• DoS vulnerability in BigDecimal published at 9 Jun, 2009.
• DoS vulnerability (CVE-2008-3790) in REXML published at 23 Aug, 2008.
• Multiple vulnerabilities in Ruby published at 8 Aug, 2008.
• Arbitrary code execution vulnerabilities published at 20 Jun, 2008.
• File access vulnerability of WEBrick published at 3 Mar, 2008.
• Net::HTTPS Vulnerability published at 4 Oct, 2007.
• Another DoS Vulnerability in CGI Library published at 4 Dec, 2006.
• DoS Vulnerability in CGI Library (CVE-2006-5467) published at 3 Nov, 2006.
• Ruby vulnerability in the safe level settings published at 2 Oct, 2005.