Korrektiewe vrystellings van die Ruby-programmeertaal is gevorm , и , wat vier kwesbaarhede reggestel het. Die gevaarlikste kwesbaarheid (CVE-2019-16255) in die standaardbiblioteek (lib/shell.rb) wat kodevervanging uit te voer. In die geval van die verwerking van die data wat van die gebruiker ontvang is in die eerste argument van die Shell#[] of Shell#-toetsmetodes wat gebruik word om te kyk vir die bestaan van 'n lêer, kan die aanvaller die oproep van 'n arbitrêre Ruby-metode bereik.
Ander probleme:
- - blootstelling van die ingeboude http-bediener HTTP-reaksiesplitsingsaanval (as die program ongeverifieerde data in die HTTP-reaksiekop vervang, kan die kopskrif verdeel word deur 'n nuwelynkarakter in te voeg);
- vervanging van die nulkarakter (\0) in die wat gekontroleer is deur die metodes "File.fnmatch" en "File.fnmatch?" lêer paaie, kan gebruik word om vals positiewe die tjek;
- — ontkenning van diens in die Diges-verifikasiemodule vir WEBrick.
Bron: opennet.ru