보안
Ruby와 관련한 보안 이슈에 대해 정보를 공유하는 곳입니다.
보안 취약점 알리기
Ruby 프로그래밍 언어의 보안 취약점은 HackerOne 프로그램 페이지나 비공개 메일링 리스트인 security@ruby-lang.org(PGP 공개 키)로 보고해야 합니다. 문제를 보고하기 전에 프로그램의 대상에 포함되는지 확인하세요. 보고된 유효한 문제는 수정 이후에 공개됩니다.
웹 사이트에 영향을 주는 문제를 발견한 경우에는 GitHub을 통해서 보고해 주세요.
Ruby 커뮤니티의 특정 gem에 영향을 주는 문제를 발견했다면, RubyGems.org의 안내를 따라주세요.
보안 메일링 리스트
security@ruby-lang.org 메일링 리스트의 멤버는 Ruby를 제공하는 사람들(Ruby 커미터, 다른 Ruby 구현체의 저자, 배포 담당자, PaaS 플랫폼 관리자)입니다.
멤버는 반드시 개인이어야 하며, 메일링 리스트는 허용되지 않습니다. 이러한 조직 중 하나를 대표하는 경우, 리스트에 가입하기 위해 저희에게 연락해 주세요.
알려진 취약점
다음과 같은 보안 취약점이 보고된 바 있습니다.
- CVE-2026-27820: Zlib::GzipReader의 버퍼 오버플로 취약점
2026-03-05 - CVE-2025-61594: 이전 수정을 우회한 URI 자격 증명 유출
2025-10-07 - CVE-2025-58767: REXML의 DoS 취약점
2025-09-18 - CVE-2025-24294: resolv gem의 DoS 가능성
2025-07-08 - CVE-2025-43857: net-imap의 DoS 취약점
2025-04-28 - 보안 권고: CVE-2025-27219, CVE-2025-27220, CVE-2025-27221
2025-02-26 - CVE-2025-25186: net-imap의 DoS 취약점
2025-02-10 - CVE-2024-49761: REXML의 ReDoS 취약점
2024-10-28 - CVE-2024-43398: REXML의 DoS 취약점
2024-08-22 - CVE-2024-41946: REXML의 DoS 취약점
2024-08-01 - CVE-2024-41123: REXML의 DoS 취약점
2024-08-01 - CVE-2024-39908: REXML의 DoS 취약점
2024-07-16 - CVE-2024-35176: REXML의 DoS 취약점
2024-05-16 - CVE-2024-27282: 정규표현식 검색의 임의의 메모리 주소 읽기 취약점
2024-04-23 - CVE-2024-27281: RDoc에서 .rdoc_options 사용 시의 RCE 취약점
2024-03-21 - CVE-2024-27280: StringIO에서 버퍼 초과 읽기 취약점
2024-03-21 - CVE-2023-36617: URI의 ReDoS 취약점
2023-06-29 - CVE-2023-28756: Time의 ReDoS 취약점
2023-03-30 - CVE-2023-28755: URI의 ReDoS 취약점
2023-03-28 - CVE-2021-33621: CGI에서의 HTTP 응답 분할
2022-11-22 - CVE-2022-28738: 정규표현식 컴파일에서의 중복 할당 해제
2022-04-12 - CVE-2022-28739: String에서 Float로 변환할 때의 버퍼 오버런
2022-04-12 - CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장
2021-11-24 - CVE-2021-41816: CGI.escape_html에서의 버퍼 오버런
2021-11-24 - CVE-2021-41817: 날짜 구문 분석 메서드의 정규표현식 서비스 거부(DoS) 취약점
2021-11-15 - CVE-2021-31810: Net::FTP의 FTP PASV 응답 신뢰 취약점
2021-07-07 - CVE-2021-32066: Net::IMAP의 StartTLS 스트립 취약점
2021-07-07 - CVE-2021-31799: RDoc의 명령 주입 취약점
2021-05-02 - CVE-2021-28965: REXML의 XML 왕복 변환(round-trip) 취약점
2021-04-05 - CVE-2021-28966: Windows 환경 Tempfile의 경로 탐색 취약점
2021-04-05 - CVE-2020-25613: WEBrick의 잠재적인 HTTP 요청 스머글링 취약점
2020-09-29 - CVE-2020-10933: 소켓 라이브러리의 힙 메모리 노출 취약점
2020-03-31 - CVE-2020-10663: JSON의 안전하지 않은 객체 생성 취약점(추가 수정)
2020-03-19 - CVE-2019-16201: WEBrick Digest 인증의 정규 표현식 서비스 거부 취약점
2019-10-01 - CVE-2019-15845: File.fnmatch 및 File.fnmatch?의 NUL 주입 취약점
2019-10-01 - CVE-2019-16254: WEBrick의 HTTP 응답 분할 취약점(추가 수정)
2019-10-01 - CVE-2019-16255: Shell#[] 및 Shell#test의 코드 주입 취약점
2019-10-01 - RDoc의 jQuery 취약점 다수 발견
2019-08-28 - RubyGems의 취약점 다수 발견
2019-03-05 - CVE-2018-16395: OpenSSL::X509::Name 비교가 올바르게 동작하지 않는 취약점
2018-10-17 - CVE-2018-16396: tainted 플래그가 Array#pack, String#unpack의 일부 형식에서 전파되지 않는 취약점
2018-10-17 - CVE-2018-6914: tempfile, tmpdir에서 디렉터리 순회를 동반하는 의도하지 않은 파일, 또는 디렉터리 생성 취약점
2018-03-28 - CVE-2018-8779: UNIXServer, UNIXSocket에서 NUL 문자 삽입을 통한 의도치 않은 소켓 생성 취약점
2018-03-28 - CVE-2018-8780: Dir에서 NUL 문자 주입을 통한 의도하지 않은 디렉터리 접근 취약점
2018-03-28 - CVE-2018-8777: WEBrick의 커다란 요청을 통한 서비스 거부 공격 취약점
2018-03-28 - CVE-2017-17742: WEBrick의 HTTP 응답 위장 취약점
2018-03-28 - CVE-2018-8778: String#unpack의 범위 외 읽기 취약점
2018-03-28 - RubyGems의 취약점 다수 발견
2018-02-17 - CVE-2017-17405: Net::FTP의 명령 주입 취약점
2017-12-14 - CVE-2017-10784: WEBrick 베이직 인증에 이스케이프 시퀀스 삽입 취약점 발생
2017-09-14 - CVE-2017-0898: Kernel.sprintf에 버퍼 언더런 취약점 발생
2017-09-14 - CVE-2017-14033: OpenSSL ASN1 디코드할 때 버퍼 언더런 취약점 발생
2017-09-14 - CVE-2017-14064: JSON을 생성할 때 힙 메모리를 노출하는 취약점
2017-09-14 - RubyGems의 취약점 다수 발견
2017-08-29 - CVE-2015-7551: Fiddle, DL의 tainted 문자열 사용 취약점
2015-12-16 - CVE-2015-1855: 루비 OpenSSL 호스트 이름 검증
2015-04-13 - CVE-2014-8090: XML 확장의 또다른 서비스 거부 공격(DoS)
2014-11-13 - CVE-2014-8080: XML 확장의 서비스 거부공격(DoS)
2014-10-27 - ext/openssl의 기본 설정 변경
2014-10-27 - OpenSSL TLS 하트비트 확장의 심각한 취약점 (CVE-2014-0160)
2014-04-10 - YAML URI 이스케이프 파싱의 힙 오버플로 (CVE-2014-2525)
2014-03-29 - 부동소수점 파싱할 때 힙 오버플로 발생 (CVE-2013-4164)
2013-11-22
아직 번역되지 않은 최근 취약점 및 자세한 사항은 영문 페이지를 참조하시기 바랍니다.