Ruby와 관련한 보안 이슈에 대해 정보를 공유하는 곳입니다.
보안 취약점 알리기
Ruby 프로그래밍 언어의 보안 취약점은 HackerOne의 바운티 프로그램을 통해서 보고해야 합니다. 문제를 보고하기 전에 프로그램의 대상에 포함되는지 확인하세요. 보고된 유효한 문제는 수정 이후에 공개됩니다.
웹 사이트에 영향을 주는 문제를 발견한 경우에는 GitHub을 통해서 보고하거나 Google Group의 보안 공지를 확인하세요.
Ruby 커뮤니티의 특정 gem에 영향을 주는 문제를 발견했다면, RubyGems.org의 안내를 따라주세요.
HackerOne 이외의 방법으로 보안팀에 연락하고 싶다면, 비공개 메일링 리스트인 security@ruby-lang.org(PGP public key)로 메일을 보내주십시오.
이 메일링 리스트의 멤버는 Ruby를 제공하는 사람들(Ruby 커미터, Ruby 구현부의 저자, 배포 담당자, PaaS 플랫폼 관리자)입니다. 멤버는 반드시 개인이어야 하며, 메일링 리스트는 허용되지 않습니다.
알려진 취약점
다음과 같은 보안 취약점이 보고된 바 있습니다.
- CVE-2025-61594: 이전 수정을 우회한 URI 자격 증명 유출
2025年10月07日 - CVE-2025-58767: REXML의 DoS 취약점
2025年09月18日 - CVE-2025-24294: resolv gem의 DoS 가능성
2025年07月08日 - CVE-2025-43857: net-imap의 DoS 취약점
2025年04月28日 - 보안 권고: CVE-2025-27219, CVE-2025-27220, CVE-2025-27221
2025年02月26日 - CVE-2025-25186: net-imap의 DoS 취약점
2025年02月10日 - CVE-2024-49761: REXML의 ReDoS 취약점
2024年10月28日 - CVE-2024-43398: REXML의 DoS 취약점
2024年08月22日 - CVE-2024-41946: REXML의 DoS 취약점
2024年08月01日 - CVE-2024-41123: REXML의 DoS 취약점
2024年08月01日 - CVE-2024-39908: REXML의 DoS 취약점
2024年07月16日 - CVE-2024-35176: REXML의 DoS 취약점
2024年05月16日 - CVE-2024-27282: 정규표현식 검색의 임의의 메모리 주소 읽기 취약점
2024年04月23日 - CVE-2024-27281: RDoc에서 .rdoc_options 사용 시의 RCE 취약점
2024年03月21日 - CVE-2024-27280: StringIO에서 버퍼 초과 읽기 취약점
2024年03月21日 - CVE-2023-36617: URI의 ReDoS 취약점
2023年06月29日 - CVE-2023-28756: Time의 ReDoS 취약점
2023年03月30日 - CVE-2023-28755: URI의 ReDoS 취약점
2023年03月28日 - CVE-2021-33621: CGI에서의 HTTP 응답 분할
2022年11月22日 - CVE-2022-28738: 정규표현식 컴파일에서의 중복 할당 해제
2022年04月12日 - CVE-2022-28739: String에서 Float로 변환할 때의 버퍼 오버런
2022年04月12日 - CVE-2021-41819: CGI::Cookie.parse에서의 쿠키 접두사 위장
2021年11月24日 - CVE-2021-41816: CGI.escape_html에서의 버퍼 오버런
2021年11月24日 - CVE-2021-41817: 날짜 구문 분석 메서드의 정규표현식 서비스 거부(DoS) 취약점
2021年11月15日 - CVE-2021-31810: Net::FTP의 FTP PASV 응답 신뢰 취약점
2021年07月07日 - CVE-2021-32066: Net::IMAP의 StartTLS 스트립 취약점
2021年07月07日 - CVE-2021-31799: RDoc의 명령 주입 취약점
2021年05月02日 - CVE-2021-28965: REXML의 XML 왕복 변환(round-trip) 취약점
2021年04月05日 - CVE-2021-28966: Windows 환경 Tempfile의 경로 탐색 취약점
2021年04月05日 - CVE-2020-25613: WEBrick의 잠재적인 HTTP 요청 스머글링 취약점
2020年09月29日 - CVE-2020-10933: 소켓 라이브러리의 힙 메모리 노출 취약점
2020年03月31日 - CVE-2020-10663: JSON의 안전하지 않은 객체 생성 취약점(추가 수정)
2020年03月19日 - CVE-2019-16201: WEBrick Digest 인증의 정규 표현식 서비스 거부 취약점
2019年10月01日 - CVE-2019-15845: File.fnmatch 및 File.fnmatch?의 NUL 주입 취약점
2019年10月01日 - CVE-2019-16254: WEBrick의 HTTP 응답 분할 취약점(추가 수정)
2019年10月01日 - CVE-2019-16255: Shell#[] 및 Shell#test의 코드 주입 취약점
2019年10月01日 - RDoc의 jQuery 취약점 다수 발견
2019年08月28日 - RubyGems의 취약점 다수 발견
2019年03月05日 - CVE-2018-16395: OpenSSL::X509::Name 비교가 올바르게 동작하지 않는 취약점
2018年10月17日 - CVE-2018-16396: tainted 플래그가 Array#pack, String#unpack의 일부 형식에서 전파되지 않는 취약점
2018年10月17日 - CVE-2018-6914: tempfile, tmpdir에서 디렉터리 순회를 동반하는 의도하지 않은 파일, 또는 디렉터리 생성 취약점
2018年03月28日 - CVE-2018-8779: UNIXServer, UNIXSocket에서 NUL 문자 삽입을 통한 의도치 않은 소켓 생성 취약점
2018年03月28日 - CVE-2018-8780: Dir에서 NUL 문자 주입을 통한 의도하지 않은 디렉터리 접근 취약점
2018年03月28日 - CVE-2018-8777: WEBrick의 커다란 요청을 통한 서비스 거부 공격 취약점
2018年03月28日 - CVE-2017-17742: WEBrick의 HTTP 응답 위장 취약점
2018年03月28日 - CVE-2018-8778: String#unpack의 범위 외 읽기 취약점
2018年03月28日 - RubyGems의 취약점 다수 발견
2018年02月17日 - CVE-2017-17405: Net::FTP의 명령 주입 취약점
2017年12月14日 - CVE-2017-10784: WEBrick 베이직 인증에 이스케이프 시퀀스 삽입 취약점 발생
2017年09月14日 - CVE-2017-0898: Kernel.sprintf에 버퍼 언더런 취약점 발생
2017年09月14日 - CVE-2017-14033: OpenSSL ASN1 디코드할 때 버퍼 언더런 취약점 발생
2017年09月14日 - CVE-2017-14064: JSON을 생성할 때 힙 메모리를 노출하는 취약점
2017年09月14日 - RubyGems의 취약점 다수 발견
2017年08月29日 - CVE-2015-7551: Fiddle, DL의 tainted 문자열 사용 취약점
2015年12月16日 - CVE-2015-1855: 루비 OpenSSL 호스트 이름 검증
2015年04月13日 - CVE-2014-8090: XML 확장의 또다른 서비스 거부 공격(DoS)
2014年11月13日 - CVE-2014-8080: XML 확장의 서비스 거부공격(DoS)
2014年10月27日 - ext/openssl의 기본 설정 변경
2014年10月27日 - OpenSSL TLS 하트비트 확장의 심각한 취약점 (CVE-2014-0160)
2014年04月10日 - YAML URI 이스케이프 파싱의 힙 오버플로 (CVE-2014-2525)
2014年03月29日 - 부동소수점 파싱할 때 힙 오버플로 발생 (CVE-2013-4164)
2013年11月22日
아직 번역되지 않은 최근 취약점 및 자세한 사항은 영문 페이지를 참조하시기 바랍니다.