|
2 | 2 | layout: page |
3 | 3 | title: "Безопасность" |
4 | 4 | lang: ru |
| 5 | +translator: "ablzh" |
5 | 6 | --- |
6 | 7 |
|
7 | | -Здесь вы найдете информацию по вопросам безопасности Ruby. |
| 8 | +Здесь вы найдёте информацию об уязвимостях Ruby. |
8 | 9 | {: .summary} |
9 | 10 |
|
10 | | -## Как сообщить об уязвимости |
| 11 | +## Сообщение об уязвимостях |
11 | 12 |
|
12 | | -Информация об уязвимости должна быть отправлена по почте на |
13 | | -security@ruby-lang.org ([публичный ключ PGP](/security.asc)). Данный |
14 | | -адрес является частной почтовой рассылкой. Сообщенная информация будет |
15 | | -опубликована сразу после того как уязвимость будет исправлена. |
| 13 | +Об уязвимостях в языке программирования Ruby следует сообщать через нашу [страницу программы HackerOne](https://hackerone.com/ruby) или по электронной почте security@ruby-lang.org ([открытый PGP-ключ](/security.asc)), которая является закрытым списком рассылки. Пожалуйста, ознакомьтесь с подробностями о рамках нашей программы перед сообщением о проблеме. Любые подтверждённые проблемы будут опубликованы после исправления. |
| 14 | + |
| 15 | +Если вы обнаружили проблему, затрагивающую один из наших веб-сайтов, пожалуйста, сообщите об этом [через GitHub](https://github.com/ruby/www.ruby-lang.org/issues/new). |
| 16 | + |
| 17 | +Если вы нашли проблему, которая затрагивает конкретный гем сообщества Ruby, следуйте [инструкциям на RubyGems.org](http://guides.rubygems.org/security/#reporting-security-vulnerabilities). |
| 18 | + |
| 19 | +## Список рассылки по безопасности |
| 20 | + |
| 21 | +В список рассылки security@ruby-lang.org входят люди, которые предоставляют Ruby (коммиттеры Ruby и авторы других реализаций Ruby, дистрибьюторы, PaaS-платформы). |
| 22 | + |
| 23 | +Участниками должны быть отдельные люди, списки рассылки не допускаются. Если вы представляете одну из этих организаций, пожалуйста, свяжитесь с нами, чтобы присоединиться к списку. |
16 | 24 |
|
17 | 25 | ## Известные проблемы |
18 | 26 |
|
19 | | -_See the [English page](/en/security/) for a complete and up-to-date |
20 | | -list of security vulnerabilities. |
21 | | -The following list only includes the as yet translated |
22 | | -security announcements, it might be incomplete or outdated._ |
23 | 27 |
|
24 | | -Ниже перечислены недавние проблемы. |
| 28 | +Последние проблемы: |
25 | 29 |
|
26 | 30 | {% include security_posts.html %} |
27 | 31 |
|
28 | | -* [Суть DoS уязвимости в REXML (XML bomb, |
29 | | - CVE-2013-1821)][1] опубликовано 22 февраля 2013. |
30 | | -* [Недоступность сервиса и небезопасное создание объекта в JSON |
31 | | - (CVE-2013-0269)][2] опубликовано 22 февраля 2013. |
32 | | -* [XSS эксплоит RDoc документации, сгенерированной rdoc |
33 | | - (CVE-2013-0256)][3] опубликовано 6 февраля 2013. |
| 32 | +Другие известные проблемы: |
34 | 33 |
|
35 | | -See [the English page](/en/security/) for prior security related posts. |
| 34 | +* [Уязвимость DoS через расширение сущностей в геме REXML (XML-бомба, |
| 35 | + CVE-2013-1821)][1] |
| 36 | + опубликовано 22 февраля 2013 г. |
| 37 | +* [Уязвимость к отказу в обслуживании (DoS) и небезопасному созданию объектов в JSON |
| 38 | + (CVE-2013-0269)][2] |
| 39 | + опубликовано 22 февраля 2013 г. |
| 40 | +* [XSS-эксплойт в документации RDoc, сгенерированной rdoc |
| 41 | + (CVE-2013-0256)][3] |
| 42 | + опубликовано 6 февраля 2013 г. |
| 43 | +* [Hash-flooding DoS vulnerability for ruby 1.9 (CVE-2012-5371)][4] |
| 44 | + published at 10 Nov, 2012. |
| 45 | +* [Unintentional file creation caused by inserting a illegal NUL |
| 46 | + character (CVE-2012-4522)][5] |
| 47 | + published at 12 Oct, 2012. |
| 48 | +* [$SAFE escaping vulnerability about Exception#to\_s / NameError#to\_s |
| 49 | + (CVE-2012-4464, CVE-2012-4466)][6] |
| 50 | + published at 12 Oct, 2012. |
| 51 | +* [Security Fix for RubyGems: SSL server verification failure for remote |
| 52 | + repository][7] published at 20 Apr, 2012. |
| 53 | +* [Security Fix for Ruby OpenSSL module: Allow 0/n splitting as a |
| 54 | + prevention for the TLS BEAST attack][8] |
| 55 | + published at 16 Feb, 2012. |
| 56 | +* [Denial of service attack was found for Ruby\'s Hash algorithm |
| 57 | + (CVE-2011-4815)][9] |
| 58 | + published at 28 Dec, 2011. |
| 59 | +* [Exception methods can bypass $SAFE][10] |
| 60 | + published at 18 Feb, 2011. |
| 61 | +* [FileUtils is vulnerable to symlink race attacks][11] |
| 62 | + published at 18 Feb, 2011. |
| 63 | +* [XSS in WEBrick (CVE-2010-0541)][12] |
| 64 | + published at 16 Aug, 2010. |
| 65 | +* [Buffer over-run in ARGF.inplace\_mode=][13] |
| 66 | + published at 2 Jul, 2010. |
| 67 | +* [WEBrick has an Escape Sequence Injection vulnerability (CVE-2009-4492)][14] |
| 68 | + published at 10 Jan, 2010. |
| 69 | +* [Heap overflow in String (CVE-2009-4124)][15] |
| 70 | + published at 7 Dec, 2009. |
| 71 | +* [DoS vulnerability in |
| 72 | + BigDecimal](/en/news/2009/06/09/dos-vulnerability-in-bigdecimal/ (CVE-2009-1904)) |
| 73 | + published at 9 Jun, 2009. |
| 74 | +* [DoS vulnerability (CVE-2008-3790) in |
| 75 | + REXML](/en/news/2008/08/23/dos-vulnerability-in-rexml/) |
| 76 | + published at 23 Aug, 2008. |
| 77 | +* [Multiple vulnerabilities in |
| 78 | + Ruby](/en/news/2008/08/08/multiple-vulnerabilities-in-ruby/) |
| 79 | + published at 8 Aug, 2008. |
| 80 | +* [Arbitrary code execution |
| 81 | + vulnerabilities](/en/news/2008/06/20/arbitrary-code-execution-vulnerabilities/) |
| 82 | + published at 20 Jun, 2008. |
| 83 | +* [File access vulnerability of |
| 84 | + WEBrick](/en/news/2008/03/03/webrick-file-access-vulnerability/) |
| 85 | + published at 3 Mar, 2008. |
| 86 | +* [Net::HTTPS |
| 87 | + Vulnerability](/en/news/2007/10/04/net-https-vulnerability/) |
| 88 | + published at 4 Oct, 2007. |
| 89 | +* [Another DoS Vulnerability in CGI |
| 90 | + Library](/en/news/2006/12/04/another-dos-vulnerability-in-cgi-library/) |
| 91 | + published at 4 Dec, 2006. |
| 92 | +* [DoS Vulnerability in CGI Library (CVE-2006-5467)](/en/news/2006/11/03/CVE-2006-5467/) |
| 93 | + published at 3 Nov, 2006. |
| 94 | +* [Ruby vulnerability in the safe level |
| 95 | + settings](/en/news/2005/10/03/ruby-vulnerability-in-the-safe-level-settings/) |
| 96 | + published at 2 Oct, 2005. |
36 | 97 |
|
37 | 98 |
|
38 | 99 |
|
39 | 100 | [1]: /ru/news/2013/02/22/rexml-dos-2013-02-22/ |
40 | 101 | [2]: /ru/news/2013/02/22/json-dos-cve-2013-0269/ |
41 | 102 | [3]: /ru/news/2013/02/06/rdoc-xss-cve-2013-0256/ |
| 103 | +[4]: /en/news/2012/11/09/ruby19-hashdos-cve-2012-5371/ |
| 104 | +[5]: /en/news/2012/10/12/poisoned-NUL-byte-vulnerability/ |
| 105 | +[6]: /en/news/2012/10/12/cve-2012-4464-cve-2012-4466/ |
| 106 | +[7]: /en/news/2012/04/20/ruby-1-9-3-p194-is-released/ |
| 107 | +[8]: /en/news/2012/02/16/security-fix-for-ruby-openssl-module/ |
| 108 | +[9]: /en/news/2011/12/28/denial-of-service-attack-was-found-for-rubys-hash-algorithm-cve-2011-4815/ |
| 109 | +[10]: /en/news/2011/02/18/exception-methods-can-bypass-safe/ |
| 110 | +[11]: /en/news/2011/02/18/fileutils-is-vulnerable-to-symlink-race-attacks/ |
| 111 | +[12]: /en/news/2010/08/16/xss-in-webrick-cve-2010-0541/ |
| 112 | +[13]: /en/news/2010/07/02/ruby-1-9-1-p429-is-released/ |
| 113 | +[14]: /en/news/2010/01/10/webrick-escape-sequence-injection/ |
| 114 | +[15]: /en/news/2009/12/07/heap-overflow-in-string/ |
0 commit comments