تم إنشاء إصدارات تصحيحية للغة برمجة روبي 3.0.1 و2.7.3 و2.6.7 و2.5.9، حيث تم التخلص من ثغرتين أمنيتين:
- CVE-2021-28965 هي ثغرة أمنية في وحدة REXML المضمنة، والتي، عند تحليل وتسلسل مستند XML منسق بشكل خاص، يمكن أن تؤدي إلى إنشاء مستند XML غير صحيح لا يتطابق هيكله مع المستند الأصلي. تعتمد خطورة الثغرة الأمنية بشكل كبير على السياق، ولكن لا يمكن استبعاد الهجمات ضد بعض التطبيقات التي تستخدم REXML.
- CVE-2021-28966 هي ثغرة أمنية خاصة بالنظام الأساسي لنظام التشغيل Windows وتسمح بإنشاء دليل أو ملف عشوائي في أجزاء من نظام الملفات يمكن الكتابة عليها بواسطة المستخدم الذي تعمل عملية Ruby بحقوقه. سبب المشكلة هو المعالجة غير الصحيحة للبادئة في أسلوب Dir.mktmpdir، والتي لا تستبعد استبدال الإنشاءات مثل "..\\". للهجوم، يجب أن تستخدم العملية بيانات خارجية عند إنشاء قيمة البادئة.
المصدر: opennet.ru