Korrektiewe vrystellings van die Ruby-programmeertaal 3.0.1, 2.7.3, 2.6.7 en 2.5.9 is gegenereer, waarin twee kwesbaarhede uitgeskakel word:
- CVE-2021-28965 is 'n kwesbaarheid in die ingeboude REXML-module, wat, wanneer 'n spesiaal geformateerde XML-dokument ontleed en geserialiseer word, kan lei tot die skepping van 'n verkeerde XML-dokument waarvan die struktuur nie ooreenstem met die oorspronklike nie. Die erns van die kwesbaarheid hang baie af van die konteks, maar aanvalle teen sommige toepassings wat REXML gebruik, kan nie uitgesluit word nie.
- CVE-2021-28966 is 'n Windows-platformspesifieke kwesbaarheid wat die skep van 'n arbitrêre gids of lêer in dele van die lêerstelsel moontlik maak wat skryfbaar is deur die gebruiker met wie se regte die Ruby-proses loop. Die probleem word veroorsaak deur die verkeerde verwerking van die voorvoegsel in die Dir.mktmpdir-metode, wat nie die vervanging van konstruksies soos "..\\" uitsluit nie. Om aan te val, moet die proses eksterne data gebruik wanneer die voorvoegselwaarde gegenereer word.
Bron: opennet.ru