Ruby 2.6.0 发布
我们很高兴地宣布 Ruby 2.6.0 的发布。
由 naruse 于 2018 年 12 月 25 日发布
CVE-2018-16395:OpenSSL::X509::Name 相等性检查无法正常工作
与 Ruby 捆绑的 openssl 扩展库中的 OpenSSL::X509::Name 的相等性检查不正确。此漏洞已分配 CVE 标识符 CVE-2018-16395。
由 usa 于 2018 年 10 月 17 日发布
CVE-2018-16396:在带有某些指令的 Array#pack 和 String#unpack 中,污点标志不会传播
在具有某些格式的 Array#pack 和 String#unpack 中,原始数据的污点标志不会传播到返回的字符串/数组。此漏洞已分配 CVE 标识符 CVE-2018-16396。
由 usa 于 2018 年 10 月 17 日发布
CVE-2018-6914:在 tempfile 和 tmpdir 中,使用目录遍历意外创建文件和目录
在与 Ruby 捆绑的 tmpdir 库中存在意外的目录创建漏洞。 并且在与 Ruby 捆绑的 tempfile 库中也存在意外的文件创建漏洞,因为它在内部使用 tmpdir。此漏洞已分配 CVE 标识符 CVE-2018-6914。
由 usa 于 2018 年 3 月 28 日发布
CVE-2018-8779:在 UNIXServer 和 UNIXSocket 中,因中毒的 NUL 字节而意外创建套接字
在与 Ruby 捆绑的 socket 库的 UNIXServer.open 方法中存在意外的套接字创建漏洞。 并且在 UNIXSocket.open 方法中也存在意外的套接字访问漏洞。此漏洞已分配 CVE 标识符 CVE-2018-8779。
由 usa 于 2018 年 3 月 28 日发布
CVE-2018-8780:在 Dir 中,因中毒的 NUL 字节而意外进行目录遍历
在 Dir 中的某些方法中存在意外的目录遍历。此漏洞已分配 CVE 标识符 CVE-2018-8780。
由 usa 于 2018 年 3 月 28 日发布
CVE-2018-8777:WEBrick 中因大型请求而导致的 DoS
在与 Ruby 捆绑的 WEBrick 中,存在因大型请求而导致的内存溢出 DoS 漏洞。此漏洞已分配 CVE 标识符 CVE-2018-8777。
由 usa 于 2018 年 3 月 28 日发布
CVE-2017-17742:WEBrick 中的 HTTP 响应拆分
在与 Ruby 捆绑的 WEBrick 中,存在 HTTP 响应拆分漏洞。此漏洞已分配 CVE 标识符 CVE-2017-17742。
由 usa 于 2018 年 3 月 28 日发布
CVE-2018-8778:String#unpack 中的缓冲区下溢读取
在 String#unpack 方法中存在缓冲区下溢读取漏洞。此漏洞已分配 CVE 标识符 CVE-2018-8778。
由 usa 于 2018 年 3 月 28 日发布