Ruby proqramlaşdırma dilinin 3.0.1, 2.7.3, 2.6.7 və 2.5.9-un düzəldici buraxılışları yaradılıb, burada iki boşluq aradan qaldırılıb:
- CVE-2021-28965 daxili REXML modulunda boşluqdur ki, bu da xüsusi formatlaşdırılmış XML sənədinin təhlili və seriallaşdırılması zamanı strukturu orijinala uyğun gəlməyən səhv XML sənədinin yaradılmasına səbəb ola bilər. Zəifliyin ciddiliyi kontekstdən çox asılıdır, lakin REXML-dən istifadə edən bəzi proqramlara qarşı hücumları istisna etmək olmaz.
- CVE-2021-28966 - Platformaya Xas Windows Ruby prosesinin işlədiyi istifadəçi tərəfindən yazıla bilən fayl sistemi hissələrində ixtiyari bir qovluq və ya fayl yaratmağa imkan verən bir zəiflik. Problem, "..\\" kimi konstruksiyaların əvəz edilməsinə imkan verən Dir.mktmpdir metodunda səhv prefiks işlənməsindən qaynaqlanır. Hücumu həyata keçirmək üçün proses prefiks dəyərini formalaşdırarkən xarici məlumatlardan istifadə etməlidir.
Mənbə: opennet.ru
