Ruby 2.6.0 已发布
我们高兴地宣布 Ruby 2.6.0 已发布。
由 naruse 发表于 2018-12-25
CVE-2018-16395: OpenSSL::X509::Name 相等检查未正常工作
Ruby 自带的 OpenSSL 库中 OpenSSL::X509::Name 相等检查未正常工作。此缺陷已被分配 CVE 编号 CVE-2018-16395。
由 usa 发表于 2018-10-17
CVE-2018-16396: 特定命令下受污染标记未如实展开到 Array#pack 和 String#unpack 结果中
使用 Array#pack 和 String#unpack 处理某些特定格式时,原数据的受污染标记并未展开至返回的字符串或数组中。此缺陷已被分配 CVE 编号 CVE-2018-16396。
由 usa 发表于 2018-10-17
CVE-2018-6914: tempfile 和 tmpdir 库中意外创建文件和目录的缺陷
Ruby 自带的 tmpdir 库中存在一个创建意外目录的缺陷。此外 tempfile 库也存在创建意外文件的缺陷,因为其内部依赖了 tmpdir。此缺陷已被分配 CVE 标识符 CVE-2018-6914。
由 usa 发表于 2018-03-28
CVE-2018-8779: UNIXServer 与 UNIXSocket 中污染的 NUL 字节可创建意外的 Socket
Ruby 自带的套接字库中 UNIXServer.open 方法存在一个通过污染的 NUL 字节可创建意外的 Socket 的缺陷。同时,UNIXSocket.open 方法也存在一个意外访问套接字的缺陷。此缺陷已被分配 CVE 标识符 CVE-2018-8779。
由 usa 发表于 2018-03-28
CVE-2018-8780: Dir 中污染的 NUL 字节可触发意外目录穿越
Dir 中的一些方法存在意外目录穿越的问题。此缺陷已被分配 CVE 标识符 CVE-2018-8780。
由 usa 发表于 2018-03-28
CVE-2018-8777: WEBrick 大请求 DoS 缺陷
Ruby 捆绑的 WEBrick 存在一个通过发送大请求耗尽内存的 DoS 缺陷。此缺陷已被分配 CVE 标识符 CVE-2018-8777。
由 usa 发表于 2018-03-28
CVE-2017-17742: WEBrick 回复分离缺陷
Ruby 捆绑的 WEBrick 在 HTTP 回复分离时存在一个缺陷。此缺陷已被分配 CVE 标识符 CVE-2017-17742。
由 usa 发表于 2018-03-28
CVE-2018-8778: String#unpack 中缓冲区欠读缺陷
String#unpack 中存在一个缓冲区欠读缺陷。此缺陷已被分配 CVE 标识符 CVE-2018-8778。
由 usa 发表于 2018-03-28