Ruby proqramlaşdırma dilinin 3.0.1, 2.7.3, 2.6.7 və 2.5.9-un düzəldici buraxılışları yaradılıb, burada iki boşluq aradan qaldırılıb:
- CVE-2021-28965 daxili REXML modulunda boşluqdur ki, bu da xüsusi formatlaşdırılmış XML sənədinin təhlili və seriallaşdırılması zamanı strukturu orijinala uyğun gəlməyən səhv XML sənədinin yaradılmasına səbəb ola bilər. Zəifliyin ciddiliyi kontekstdən çox asılıdır, lakin REXML-dən istifadə edən bəzi proqramlara qarşı hücumları istisna etmək olmaz.
- CVE-2021-28966, Ruby prosesinin işlədiyi istifadəçi tərəfindən yazıla bilən fayl sisteminin hissələrində ixtiyari kataloq və ya fayl yaratmağa imkan verən Windows platforması üçün xüsusi zəiflikdir. Problem “..\\” kimi konstruksiyaların əvəzlənməsini istisna etməyən Dir.mktmpdir metodunda prefiksin düzgün işlənməməsi ilə əlaqədardır. Hücum etmək üçün proses prefiks dəyərini yaradan zaman xarici məlumatlardan istifadə etməlidir.
Mənbə: opennet.ru