🥇Ruby 2.6.5 و 2.5.7 و 2.4.8 تحديث مع إصلاحات الأمان

تم تشكيل إصدارات تصحيحية من لغة برمجة روبي 2.6.5, 2.5.7 и 2.4.8، والتي أصلحت أربع نقاط ضعف. أخطر ثغرة أمنية (CVE-2019-16255) في المكتبة القياسية قذيفة (lib / shell.rb) الذي يسمح إجراء استبدال رمز. في حالة معالجة البيانات المستلمة من المستخدم في الوسيطة الأولى لطريقة اختبار Shell # [] أو Shell # المستخدمة للتحقق من وجود ملف ، يمكن للمهاجم إجراء استدعاء لطريقة روبي التعسفية.

مشاكل أخرى:

CVE-2019-16254 - التعرض لخادم HTTP المدمج ويببريك هجوم تقسيم استجابة HTTP (إذا استبدل البرنامج البيانات التي لم يتم التحقق منها في رأس استجابة HTTP ، فيمكن تقسيم الرأس عن طريق إدخال حرف سطر جديد) ؛
CVE-2019-15845 استبدال الحرف الفارغ (\ 0) في تلك التي تم التحقق منها من خلال الأساليب "File.fnmatch" و "File.fnmatch؟" مسارات الملفات ، يمكن استخدامها لإيجابية الاختيار ؛
CVE-2019-16201 - رفض الخدمة في وحدة استيقان Diges لـ WEBrick.

المصدر: opennet.ru

تحديث Ruby 2.6.5 و 2.5.7 و 2.4.8 مع إصلاحات الأمان

إضافة تعليق إلغاء الرد