Sicherheit

Hier finden Sie Informationen zu Sicherheitsfragen von Ruby.

Meldung von Sicherheitslücken

Sicherheitslücken in der Programmiersprache Ruby sollten über unser Bounty-Programm auf HackerOne gemeldet werden. Bitte lesen Sie die spezifischen Details zum Umfang unseres Programms, bevor Sie ein Problem melden. Alle gültigen gemeldeten Probleme werden nach der Behebung veröffentlicht.

Wenn Sie ein Problem mit einer unserer Websites gefunden haben, melden Sie es bitte über GitHub oder besuchen Sie unsere Google Groups für Sicherheitsankündigungen.

Wenn Sie ein Problem gefunden haben, das einen spezifischen Gem der Ruby-Community betrifft, befolgen Sie die Anweisungen auf RubyGems.org.

Um das Sicherheitsteam direkt außerhalb von HackerOne zu erreichen, können Sie eine E-Mail an security@ruby-lang.org senden (den öffentlichen PGP-Schlüssel), dies ist eine private Mailingliste.

Die Mitglieder der Mailingliste sind Personen, die Ruby bereitstellen (Ruby-Commiter und Autoren anderer Ruby-Implementierungen, Distributoren, PaaS-Plattformer). Die Mitglieder müssen Einzelpersonen sein, Mailinglisten sind nicht gestattet.

Bekannte Probleme

Hier sind aktuelle Probleme

• CVE-2025-61594: URI-Anmeldeinformationsleck umgeht frühere Korrekturen
  2025-10-07
• CVE-2025-58767: DoS-Schwachstelle in REXML
  2025-09-18
• CVE-2025-24294: Möglicher Denial of Service im resolv-Gem
  2025-07-08
• CVE-2025-43857: DoS-Schwachstelle in net-imap
  2025-04-28
• Sicherheitswarnungen: CVE-2025-27219, CVE-2025-27220 und CVE-2025-27221
  2025-02-26
• CVE-2025-25186: DoS-Schwachstelle in net-imap
  2025-02-10
• CVE-2024-49761: ReDoS-Schwachstelle in REXML
  2024-10-28
• CVE-2024-43398: DoS-Schwachstelle in REXML
  2024-08-22
• CVE-2024-41946: DoS-Schwachstelle in REXML
  2024-08-01
• CVE-2024-41123: DoS-Schwachstellen in REXML
  2024-08-01
• CVE-2024-39908: DoS-Schwachstelle in REXML
  2024-07-16
• CVE-2024-35176: DoS-Schwachstelle in REXML
  2024-05-16
• CVE-2024-27282: Schwachstelle zum Lesen beliebiger Speicheradressen mit Regex-Suche
  2024-04-23
• CVE-2024-27281: RCE-Schwachstelle mit .rdoc_options in RDoc
  2024-03-21
• CVE-2024-27280: Buffer-Overread-Schwachstelle in StringIO
  2024-03-21
• CVE-2023-36617: ReDoS-Schwachstelle in URI
  2023-06-29
• CVE-2023-28756: ReDoS-Schwachstelle in Time
  2023-03-30
• CVE-2023-28755: ReDoS-Schwachstelle in URI
  2023-03-28
• CVE-2021-33621: HTTP-Antwort-Splitting in CGI
  2022-11-22
• CVE-2022-28738: Double-Free bei der Regexp-Kompilierung
  2022-04-12
• CVE-2022-28739: Pufferüberlauf bei der String-zu-Float-Konvertierung
  2022-04-12
• CVE-2021-41819: Cookie-Präfix-Spoofing in CGI::Cookie.parse
  2021-11-24
• CVE-2021-41816: Buffer Overrun in CGI.escape_html
  2021-11-24
• CVE-2021-41817: Regular Expression Denial of Service Schwachstelle von Datumsanalyse-Methoden
  2021-11-15
• CVE-2021-31810: Vertrauen auf FTP PASV-Antworten Schwachstelle in Net::FTP
  2021-07-07
• CVE-2021-32066: Eine StartTLS-Stripping-Schwachstelle in Net::IMAP
  2021-07-07
• CVE-2021-31799: Eine Command Injection Schwachstelle in RDoc
  2021-05-02
• CVE-2021-28965: XML-Round-Trip-Schwachstelle in REXML
  2021-04-05
• CVE-2021-28966: Pfad-Traversal in Tempfile unter Windows
  2021-04-05
• CVE-2020-25613: Potenzielle HTTP Request Smuggling Schwachstelle in WEBrick
  2020-09-29
• CVE-2020-10933: Heap-Expositions-Schwachstelle in der Socket-Bibliothek
  2020-03-31
• CVE-2020-10663: Unsichere Objekterstellung Schwachstelle in JSON (Zusätzliche Korrektur)
  2020-03-19
• CVE-2019-16201: Denial-of-Service-Schwachstelle durch reguläre Ausdrücke in der Digest-Zugriffauthentifizierung von WEBrick
  2019-10-01
• CVE-2019-15845: Eine NUL-Injection-Schwachstelle von File.fnmatch und File.fnmatch?
  2019-10-01
• CVE-2019-16254: HTTP-Antwort-Splitting in WEBrick (zusätzliche Korrektur)
  2019-10-01
• CVE-2019-16255: Eine Code-Injection-Schwachstelle von Shell#[] und Shell#test
  2019-10-01
• Mehrere jQuery-Schwachstellen in RDoc
  2019-08-28
• Mehrere Schwachstellen in RubyGems
  2019-03-05
• CVE-2018-16395: OpenSSL::X509::Name Gleichheitsprüfung funktioniert nicht korrekt
  2018-10-17
• CVE-2018-16396: Tainted-Flags werden nicht in Array#pack und String#unpack mit einigen Direktiven weitergegeben
  2018-10-17
• CVE-2018-6914: Unbeabsichtigte Erstellung von Dateien und Verzeichnissen durch Directory Traversal in tempfile und tmpdir
  2018-03-28
• CVE-2018-8779: Unbeabsichtigte Socket-Erstellung durch vergifteten NUL-Byte in UNIXServer und UNIXSocket
  2018-03-28
• CVE-2018-8780: Unbeabsichtigte Verzeichnisdurchquerung durch präparierten NUL-Byte in Dir
  2018-03-28
• CVE-2018-8777: DoS bei großen Anfragen in WEBrick
  2018-03-28
• CVE-2017-17742: HTTP-Antwort-Splitting in WEBrick
  2018-03-28
• CVE-2018-8778: Puffer-Unterlesen in String#unpack
  2018-03-28
• Mehrere Schwachstellen in RubyGems
  2018-02-17
• CVE-2017-17405: Command-Injection-Schwachstelle in Net::FTP
  2017-12-14
• CVE-2017-10784: Escape-Sequenz-Injektions-Schwachstelle in der Basisauthentifizierung von WEBrick
  2017-09-14
• CVE-2017-0898: Puffer-Unterlauf-Schwachstelle in Kernel.sprintf
  2017-09-14
• CVE-2017-14033: Puffer-Unterlauf-Schwachstelle in OpenSSL ASN1-Dekodierung
  2017-09-14
• CVE-2017-14064: Heap-Expositions-Schwachstelle bei der JSON-Generierung
  2017-09-14
• Mehrere Schwachstellen in RubyGems
  2017-08-29
• CVE-2015-7551: Unsichere Tainted-String-Nutzung in Fiddle und DL
  2015-12-16
• CVE-2015-1855: Ruby OpenSSL Hostname-Verifizierung
  2015-04-13
• CVE-2014-8090: Eine weitere Denial-of-Service-XML-Expansion
  2014-11-13
• CVE-2014-8080: Denial of Service XML Expansion
  2014-10-27
• Standardeinstellungen von ext/openssl geändert
  2014-10-27
• Streitfall bezüglich Schwachstelle CVE-2014-2734
  2014-05-09
• Schwere OpenSSL-Schwachstelle bei TLS Heartbeat Extension (CVE-2014-0160)
  2014-04-10
• Heap-Überlauf bei der YAML-URI-Escape-Analyse (CVE-2014-2525)
  2014-03-29
• Heap-Überlauf beim Parsen von Gleitkommazahlen (CVE-2013-4164)
  2013-11-22
• Hostname-Prüfung umgehende Schwachstelle im SSL-Client (CVE-2013-4073)
  2013-06-27
• Umgehung der Objekt-Taintung in DL und Fiddle in Ruby (CVE-2013-2065)
  2013-05-14

Weitere bekannte Probleme

• Entity Expansion DoS-Schwachstelle in REXML (XML Bomb, CVE-2013-1821) veröffentlicht am 22. Februar 2013.
• Denial of Service und unsichere Objekterstellung Schwachstelle in JSON (CVE-2013-0269) veröffentlicht am 22. Februar 2013.
• XSS-Exploit von von RDoc generierten Dokumentationen (CVE-2013-0256) veröffentlicht am 6. Februar 2013.
• Hash-Flooding DoS-Schwachstelle für Ruby 1.9 (CVE-2012-5371) veröffentlicht am 10. November 2012.
• Unbeabsichtigte Dateierstellung durch Einfügen eines illegalen NUL-Zeichens (CVE-2012-4522) veröffentlicht am 12. Oktober 2012.
• $SAFE-Escaping-Schwachstelle für Exception#to_s / NameError#to_s (CVE-2012-4464, CVE-2012-4466) veröffentlicht am 12. Oktober 2012.
• Sicherheitskorrektur für RubyGems: SSL-Serververifizierungsfehler für Remote-Repository veröffentlicht am 20. April 2012.
• Sicherheitskorrektur für Ruby OpenSSL-Modul: Erlaube 0/n-Aufteilung als Prävention gegen den TLS BEAST-Angriff veröffentlicht am 16. Februar 2012.
• Denial of Service-Angriff auf Ruby's Hash-Algorithmus (CVE-2011-4815) entdeckt, veröffentlicht am 28. Dezember 2011.
• Exceptions-Methoden können $SAFE umgehen veröffentlicht am 18. Februar 2011.
• FileUtils ist anfällig für Symlink-Race-Angriffe veröffentlicht am 18. Februar 2011.
• XSS in WEBrick (CVE-2010-0541) veröffentlicht am 16. August 2010.
• Buffer-Überlauf in ARGF.inplace_mode= veröffentlicht am 2. Juli 2010.
• WEBrick hat eine Escape-Sequenz-Injektions-Schwachstelle veröffentlicht am 10. Januar 2010.
• Heap-Überlauf in String (CVE-2009-4124) veröffentlicht am 7. Dezember 2009.
• DoS-Schwachstelle in BigDecimal veröffentlicht am 9. Juni 2009.
• DoS-Schwachstelle in REXML veröffentlicht am 23. August 2008.
• Mehrere Schwachstellen in Ruby veröffentlicht am 8. August 2008.
• Arbitrary Code Execution Schwachstellen veröffentlicht am 20. Juni 2008.
• Datei-Zugriffs-Schwachstelle von WEBrick veröffentlicht am 3. März 2008.
• Net::HTTPS Schwachstelle veröffentlicht am 4. Oktober 2007.
• Weitere DoS-Schwachstelle in der CGI-Bibliothek veröffentlicht am 4. Dezember 2006.
• DoS-Schwachstelle in der CGI-Bibliothek (CVE-2006-5467) veröffentlicht am 3. November 2006.
• Ruby-Schwachstelle in den Safe-Level-Einstellungen veröffentlicht am 2. Oktober 2005.