Di sini Anda akan menemukan informasi terkait isu-isu keamanan dari Ruby.
Melaporkan Kerentanan Keamanan
Kerentanan keamanan pada bahasa pemrograman Ruby harus dilaporkan melalui halaman bounty program di HackerOne. Mohon pastikan Anda membaca detail khusus seputar ruang lingkup dari program kami sebelum melaporkan sebuah isu. Masalah sah yang dilaporkan akan dipublikasikan setelah perbaikan.
Jika Anda menemukan sebuah isu yang memengaruhi salah satu laman kami, mohon laporkan melalui GitHub.
Jika Anda menemukan sebuah isu mengenai Ruby gem tertentu, ikuti instruksi pada RubyGems.org.
Jika Anda perlu terhubung dengan tim keamanan secara langsung di luar HackerOne, Anda dapat mengirim surel ke security@ruby-lang.org (PGP public key), yang merupakan mailing list pribadi.
Anggota dari mailing list adalah orang-orang yang merawat Ruby (Ruby committers dan author dari implementasi Ruby lainnya, distributor, dan PaaS platformer).
Isu-isu yang diketahui
See the English page for a complete and up-to-date list of security vulnerabilities. The following list only includes the as yet translated security announcements, it might be incomplete or outdated.
Berikut adalah isu-isu terkini:
- CVE-2021-33621: HTTP response splitting pada CGI
2022-11-22 - CVE-2022-28738: Double free pada Regexp compilation
2022-04-12 - CVE-2022-28739: Buffer overrun pada konversi String-to-Float
2022-04-12 - CVE-2021-41819: Cookie Prefix Spoofing pada CGI::Cookie.parse
2021-11-24 - CVE-2021-41816: Buffer Overrun pada CGI.escape_html
2021-11-24 - CVE-2021-41817: Kerentanan Regular Expression Denial of Service dari Date Parsing Method
2021-11-15 - CVE-2021-31810: Kerentanan respons FTP PASV yang dipercaya pada Net::FTP
2021-07-07 - CVE-2021-32066: Kerentanan StartTLS stripping pada Net::IMAP
2021-07-07 - CVE-2021-31799: Sebuah kerentanan command injection pada RDoc
2021-05-02 - CVE-2021-28965: Kerentanan XML round-trip pada REXML
2021-04-05 - CVE-2021-28966: Path traversal pada Tempfile di Windows
2021-04-05 - CVE-2020-25613: Potensi Kerentanan HTTP Request Smuggling pada WEBrick
2020-09-29 - CVE-2020-10933: Kerentanan tereksposnya heap pada pustaka socket
2020-03-31 - CVE-2020-10663: Kerentanan Penciptaan Unsafe Object pada JSON (Perbaikan tambahan)
2020-03-19 - CVE-2019-16201: Kerentanan Regular Expression Denial of Service dari WEBrick's Digest access authentication
2019-10-01 - CVE-2019-15845: Sebuah kerentanan injeksi NUL dari File.fnmatch dan File.fnmatch?
2019-10-01 - CVE-2019-16254: Pemisahan respons HTTP pada WEBrick (Perbaikan tambahan)
2019-10-01 - CVE-2019-16255: Sebuah kerentanan injeksi kode dari Shell#[] dan Shell#test
2019-10-01 - Beberapa kerentanan jQuery pada RDoc
2019-08-28 - Beberapa kerentanan pada RubyGems
2019-03-05 - CVE-2018-16395: Pemeriksaan kesetaraan OpenSSL::X509::Name tidak berfungsi dengan benar
2018-10-17 - CVE-2018-16396: Penanda tercemar tidak disebarkan ke Array#pack dan String#unpack dengan beberapa arahan
2018-10-17 - CVE-2018-6914: Pembuatan berkas dan direktori yang tidak disengaja dengan directory traversal pada tempfile dan tmpdir
2018-03-28 - CVE-2018-8779: Pembuatan socket yang tidak disengaja karena poisoned NUL byte pada UNIXServer dan UNIXSocket
2018-03-28 - CVE-2018-8780: Directory traversal yang tidak disengaja oleh poisoned NUL byte pada Dir
2018-03-28 - CVE-2018-8777: DoS karena permintaan yang besar pada WEBrick
2018-03-28 - CVE-2017-17742: Pemisahan respons HTTP pada WEBrick
2018-03-28 - CVE-2018-8778: Buffer under-read pada String#unpack
2018-03-28 - Beberapa kerentanan pada RubyGems
2018-02-17 - CVE-2017-17405: Kerentanan command injection pada Net::FTP
2017-12-14 - CVE-2017-10784: Kerentanan escape sequence injection pada Basic authentication WEBrick
2017-09-14 - CVE-2017-0898: Kerentanan buffer underrun pada Kernel.sprintf
2017-09-14 - CVE-2017-14033: Kerentanan buffer underrun pada OpenSSL ASN1 decode
2017-09-14 - CVE-2017-14064: Kerentanan tereksposnya heap saat menghasilkan JSON
2017-09-14 - Beberapa Kerentanan di RubyGems
2017-08-29 - CVE-2015-7551: Cacat penggunaan string yang tidak aman pada Fiddle dan DL
2015-12-16 - CVE-2015-1855: Ruby OpenSSL Hostname Verification
2015-04-13 - CVE-2014-8090: Denial of Service Lain Ekspansi pada XML
2014-11-13 - CVE-2014-8080: Denial of Service pada Ekspansi XML
2014-10-27 - Perubahan Pengaturan Default dari ext/openssl
2014-10-27 - Heap Overflow dalam Floating Point Parsing (CVE-2013-4164)
2013-11-22 - Kerentanan Cek Hostname Terlewati pada Klien SSL (CVE-2013-4073)
2013-06-27 - Taint Object mem-bypass DL dan Fiddle pada Ruby (CVE-2013-2065)
2013-05-14
- Kerentanan DoS Ekspansi Entity pada REXML (Bom XML, CVE-2013-1821) dipublikasikan pada 22 Feb, 2013.
- Denial of Service dan Kerentanan Penciptaan Unsafe Object pada JSON (CVE-2013-0269) dipublikasikan pada 22 Feb, 2013.
- XSS exploit of RDoc documentation generated by rdoc (CVE-2013-0256) dipublikasikan pada 6 Feb, 2013.
- Kerentanan DoS Hash-flooding untuk Ruby 1.9 (CVE-2012-5371) dipublikasikan pada 10 Nov, 2012.
- Pembuatan File Tak Sengaja yang Disebabkan Memasukkan Karakter NUL Ilegal (CVE-2012-4522) dipublikasikan pada 12 Oct, 2012.
- $SAFE escaping vulnerability about Exception#to_s / NameError#to_s (CVE-2012-4464, CVE-2012-4466) dipublikasikan pada 12 Oct, 2012.
- Security Fix for RubyGems: SSL server verification failure for remote repository dipublikasikan pada 20 Apr, 2012.
- Security Fix for Ruby OpenSSL module: Allow 0/n splitting as a prevention for the TLS BEAST attack dipublikasikan pada 16 Feb, 2012.
- Serangan Denial of Service Ditemukan pada Algoritma Hash Ruby (CVE-2011-4815) dipublikasikan pada 28 Dec, 2011.
Untuk isu-isu sebelumnya lihat halaman bahasa Inggris.