🥇Ruby 2.6.5፣ 2.5.7 እና 2.4.8 update with ተጋላጭነት ተስተካክሏል

የሩቢ ፕሮግራሚንግ ቋንቋ ማረሚያ ህትመቶች ተፈጥረዋል። 2.6.5, 2.5.7 и 2.4.8, ይህም አራት ተጋላጭነቶችን አስተካክሏል. በመደበኛ ቤተ-መጽሐፍት ውስጥ በጣም አደገኛው ተጋላጭነት (CVE-2019-16255) ቀለህ (lib/shell.rb), ይህም ይህ ይፈቅዳል ኮድ መተካት ያከናውኑ. ከተጠቃሚው የተቀበለው መረጃ በሼል#[] ወይም የሼል# የሙከራ ዘዴዎች የፋይሉን መኖር ለማረጋገጥ ጥቅም ላይ በሚውልበት የመጀመሪያ ክርክር ውስጥ ከተሰራ አጥቂ የዘፈቀደ የሩቢ ዘዴ ጥሪን ሊያሳካ ይችላል።

ሌሎች ችግሮች፡-

CVE-2019-16254 - አብሮ ለተሰራው http አገልጋይ መጋለጥ WEBrick የኤችቲቲፒ ምላሽ ክፍፍል ጥቃት (ፕሮግራሙ ያልተረጋገጠ መረጃን በኤችቲቲፒ ምላሽ ርዕስ ውስጥ ካስገባ ፣ ከዚያ ራስጌው አዲስ መስመር ቁምፊ በማስገባት ሊከፋፈል ይችላል)
CVE-2019-15845 ባዶ ቁምፊ (\0) በ"File.fnmatch" እና "File.fnmatch?" ዘዴዎች በተረጋገጡት መተካት። የፋይል ዱካዎች ቼኩን በውሸት ለመቀስቀስ ጥቅም ላይ ሊውሉ ይችላሉ;
CVE-2019-16201 - ለWEBrick በ Diges የማረጋገጫ ሞጁል ውስጥ የአገልግሎት መከልከል።

ምንጭ: opennet.ru

Ruby 2.6.5, 2.5.7 እና 2.4.8 ከደህንነት ጥገናዎች ጋር አዘምን

አስተያየት ያክሉ ምላሽ መሰረዝ