Сфарміраваны карэкціруючыя рэлізы мовы праграмавання Ruby , и , у якіх ліквідаваны чатыры ўразлівасці. Найбольш небяспечная ўразлівасць (CVE-2019-16255) у стандартнай бібліятэцы (lib/shell.rb), якая ажыццявіць падстаноўку кода. У выпадку апрацоўкі атрыманых ад карыстача дадзеных у першым аргуменце метадаў Shell#[] ці Shell#test, выкарыстоўваных для праверкі наяўнасці файла, атакавалы можа дамагчыся выкліку адвольнага Ruby-метаду.
Іншыя праблемы:
- - схільнасць убудаванага http-сервера атацы па падзеле адказаў HTTP (калі праграма падстаўляе неправераныя дадзеныя ў HTTP-загаловак адказу, то праз устаўку знака перакладу радка можна падзяліць загаловак);
- падстаноўка нулявога знака (\0) у правяраныя праз метады "File.fnmatch" і "File.fnmatch?" файлавыя шляхі, можа быць выкарыстана для ілжывага спрацоўвання праверкі;
- - адмова ў абслугоўванні ў модулі Diges-аўтэнтыфікацыі для WEBrick.
Крыніца: opennet.ru